そもそも経営者にとっての最重要課題は、「いかに企業を存続させ、発展させるか」だ。その目的達成に立ち塞がる課題はサイバーセキュリティだけでなく、戦略立案や財務面でのケア、人事、製品開発、さらには顧客対応や法規制など多岐にわたる。そんな中で、サイバーセキュリティに関する技術的な知識を理解するための時間を持つのは難しい。
加えて、サイバーセキュリティは高い専門性が求められる分野である上に、状況はどんどん変化しており、進化のスピードに常にキャッチアップするのは困難だ。
経営層もサイバーセキュリティを理解する必要性は感じながらも、具体的にどうすればいいか分からない。この現状を解決するため、鎌田氏は3つのポイントを挙げた。
1つ目は、よく言われることだが、専門的な用語を用いずに「ビジネスの言葉で話す」ことだ。細かな技術的な話ではなく、サイバーセキュリティはどのように会社に影響を及ぼすのか、また法規制・コンプライアンスや顧客対応、パートナーとの信頼関係の中でどう求められるのか、といった観点で会話することだ。
こうした話をセキュリティ担当者に伝えると、「いや、自分は誰にでも分かる言葉を使って話すよう意識している」と言われることもあるそうだ。だが、実際に用いている説明資料を見ると、「マルウェア」「DDoS攻撃」「標的型攻撃」といった、普通の人にはすんなり理解できない単語が並んでいることが多い。
そして、専門的な用語や略語を避けるだけでなく「必要以上に恐怖をあおらない」こと、そして同時に、「対策はできているから大丈夫だ」といった楽観的な視点で話をしないこともポイントだとした。「“99%大丈夫だ”ではなく、“残りの1%にこういうリスクがある”と説明したほうがいいでしょう」(鎌田氏)
2つ目のポイントは、脅威と脆弱性を特定し、リスク管理の考え方で戦略を策定する「リスクベースアプローチ」を採用することだ。
まずは自社が直面しうるセキュリティの脅威と脆弱性を特定し、リスクアセスメントを行い、優先度が高いと判断したものから具体的な対応策を提示し、実施していく。しかも対策をして終わるのではなく、その後も継続的に攻撃の状況や新たな脅威・脆弱性の有無を判断し、また手を打つといった具合にステップを回し続けることが必要だ。
これも、特に金融業界などでは当たり前に受け止められるかもしれないが、まだまだ一般に定着しているアプローチではないと鎌田氏は話す。
リスクベースのアプローチを取る際にもいくつかポイントがある。まず、いきなり個別の対策から入るのではなく、「全体像」を示した上で説明することだ。初めに結論ありきで「DDoS対策が必要です」「標的型攻撃メール訓練を実施します」と話をするのではなく、前提として全体像やリスクを示すことが理解をえる上で重要だという。
「世の中全体の傾向や自社がさらされているリスクについて説明した上で、その中の1つとして具体的な攻撃を示し、どんな対策が必要かを説明していくやり方をしなければ、なかなか理解してもらえない部分もあります」(鎌田氏)
また、時間軸を念頭に置くこともポイントだとした。今日導入したセキュリティ対策製品が、5年後も同様に有効である可能性は低い。目先の対応だけでなく、5年後、10年後を見据えて何を考慮すべきかも踏まえて経営層とコミュニケーションしていくことが重要だとした。
3つ目のポイントは、具体的な事例を使ってコミュニケーションすることだ。
例えば標的型攻撃ならば、「この攻撃はこういうものです」と技術的な説明を行うのではなく、実際に起きたインシデントをベースに「実際に標的型攻撃を受けたある企業は、このような流れで被害を受け、こんな影響を受けました」とビジネス目線で紹介することで、必ずしもセキュリティの専門家ではない人たちも理解しやすくなるという。
中でも有効なのが「同業他社の事例」、あるいはメディアで大きく報じられた事例だ。 同じ業界の他社の事例を、業界特有の事情に焦点を当てて紹介することで、身近な問題として考えてもらえる。さらに、公表されている報告書などを参考にすることで、「どのような影響が生じるのか」「自社では改善策ができているか」などを検討することもできるとした。
最後に鎌田氏は、改めて「経営者はさまざまな経営課題を抱えており、サイバーセキュリティはその1つにすぎない、ということをまず認識してください」と強調した。必然的に、経営側は、現場が思っている以上にサイバーセキュリティについて理解していない可能性があることを念頭に置く必要がある。
あくまでone of themであるサイバーセキュリティの重要性を分かってもらうには、いろいろな工夫が必要になる。常にスムーズにコミュニケーションをとって相互理解を深めるのが王道ではあるが、ギャップを埋め、状況を打開する策として、第三者による忖度なしの客観的な視点を持ち込むこと、それをきっかけにして本音を言い合える関係作りを進めていくことも必要だとした。
「ここまで話した内容は、決して新しいものではありません。そんなこと知ってるよ、と感じた人も多いでしょうが、ポイントは、分かっていてもできていない人が多いことです」(鎌田氏)。分かっていながら今までのやり方がうまくいっていないのならば、第三者の意見を求めたり、発想を転換してみたりして、自分たちの中にある答えを見出していってほしいとした。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授