中小情シスに捧ぐ「セキュリティに理解がない上層部」説得のいろは 予算獲得の勘所(2/2 ページ)
経営層の理解を得られず、セキュリティ予算が増やせない──中小情シスにあるあるの悩み。解決に必要なテクニックは。
「OK。じゃ、諸々まとめて」と言われたら
では、仮に上記を踏まえて上層部を説得し、うまく理解を得られたとする。その先に待っているのは──おそらく「じゃ、いくらかかってどんな効果が見込めるのかまとめて教えて!」だろう。本当に大事なのはここからだ。セキュリティ施策に必要な予算の試算や、効果の目安は、どのように算出すべきか。
瀬戸さんによれば、セキュリティ予算や効果の試算は大きく4ステップに分かれるという。1ステップ目は「自社が抱えるリスクの特定」だ。これから講じるセキュリティ対策の全体を定めるためには、まず自社の問題点を可視化する必要がある。
とはいえ、特にリソースの限られる中小企業では、指針なしにあらゆる情報資産のリスクを洗い出すのは難しく、外部の知見や人材の活用が必要になる。例えば(1)IPAなどが出しているガイドラインを基に洗い出しを行う、(2)セキュリティ診断サービスやツールを使う、(3)外部のコンサルタントに頼る──などの手が考えられる。
ただ、基本的には(1)から順に必要な金銭的コストが大きくなる。どこまで外部の力を借りるかは、企業や実施する施策の規模、継続性などを考慮して決めるべきという。「中にはガイドラインを基にスプレッドシートで洗い出しをする企業もある。コンサルを入れる手もあるが、高額なので単発になりがち。メリットとデメリットを比較して使い分けるべき」(瀬戸さん)
2ステップ目は、洗い出したリスクを基に、対応の優先度を定める「リスク分析」だ。対応リソースが限られる状況では、全ての防御を最高レベルにするのは現実的ではない。瀬戸さんも「大事なのは、企業が目指すべきレベルを定めること」と強調する。
「上場企業であればそれに沿った管理体制を整備する必要がある。逆に工場を運営する中小企業であれば、稼働停止に陥らないための体制作りの優先度が高くなる。望む姿、あるべき姿を想定した上で、目指すべきラインを定めるべき」(瀬戸さん)
そして3ステップ目で、ここまで定めた指針を基にセキュリティ予算の算出をすることになる。具体的にはセキュリティベンダーを比較検討したり、見積もりや作業スケジュールを出してもらい、総額を算出したりすることになるだろう。ベンダー選定の基準についてはさまざまな考え方があるが、瀬戸さんは「導入実績を含め、自分たちと同じレベルの企業が利用しているか情報収集すべき」としている。
最後は経営層への報告だ。瀬戸さんはここまでの情報を総合した上で「自社の現状、現状のままでは何が問題なのか、施策のメリットや期待される効果、そして予算をまとめたうえで報告するのがポイント」とする。
「同じ目線で話ができる場を用意することが大事」 相互理解のコツ
システム部門と経営層が相互に理解し合えないというのはよくある話だ。双方の専門性が高まるほどに、同じ言葉でコミュニケーションもできなくなっていく。
しかし、深まった溝を放置したままでは、後に訪れるトラブルのリスクも大きくなる。足並みをそろえ、事業を前進させるには、まずは双方が互いの目線になってみることが大事だろう。瀬戸さんは最後に、システム部門と経営層が良好なコミュニケーションを取るコツについてこうまとめた。
「相手が理解できていないことを定性的に伝えても、意見が食い違うばかり。物事の指標を定めたり、定量化したりして、同じ目線で話ができる場を用意することが大切」
関連記事
- 「セキュリティに理解のない経営者」にならないための考え方 専門家に聞く4つの心構え
情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。 - それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
東京大学などの研究チームは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。 - 「自社製品にチャットAIを組み込みたい」 企業が取るべきセキュリティ対策とは? “プロンプトインジェクション”の基本手口
ChatGPTの登場から、チャットAIをサービスに組み込んで提供する企業が増えてきた。一方、「プロンプトインジェクション」などチャットAIを狙う攻撃手法も考えられている。企業はどんなセキュリティ対策を取るべきか、NRIセキュアテクノロジーズが解説する。 - 「Skypeは企業ネットワークに穴を開ける」と専門家が警告
P2P技術を使っているSkypeのネット電話ソフトは、セキュリティ問題や帯域の消費など、ファイル共有ソフトやIMと同じような問題を企業にもたらすかもしれない。(IDG) - ゼロトラストを選ぶ“経営的な意味”ってある? 「やりたいことベース」のセキュリティ対策へ
ゼロトラストは不正アクセスや内部不正に対応できる情報セキュリティ戦略だ。しかし、「攻撃が怖いから」ではなく「こんなビジネスがしたいから」という視点で考えれば、ゼロトラストはテレワークやクラウド活用を実現する基盤であることが見えてくる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.