経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
企業経営や組織経営、あるいは国家の運営といった観点とサイバーセキュリティがどう関わるかが中心的な話題になってきている今、経営層との距離を近づけるいくつかのヒントを紹介した。
そもそも経営者にとっての最重要課題は、「いかに企業を存続させ、発展させるか」だ。その目的達成に立ち塞がる課題はサイバーセキュリティだけでなく、戦略立案や財務面でのケア、人事、製品開発、さらには顧客対応や法規制など多岐にわたる。そんな中で、サイバーセキュリティに関する技術的な知識を理解するための時間を持つのは難しい。
加えて、サイバーセキュリティは高い専門性が求められる分野である上に、状況はどんどん変化しており、進化のスピードに常にキャッチアップするのは困難だ。
「分かっていない」ことを前提に、うまく伝える3つのポイント
経営層もサイバーセキュリティを理解する必要性は感じながらも、具体的にどうすればいいか分からない。この現状を解決するため、鎌田氏は3つのポイントを挙げた。
1つ目は、よく言われることだが、専門的な用語を用いずに「ビジネスの言葉で話す」ことだ。細かな技術的な話ではなく、サイバーセキュリティはどのように会社に影響を及ぼすのか、また法規制・コンプライアンスや顧客対応、パートナーとの信頼関係の中でどう求められるのか、といった観点で会話することだ。
こうした話をセキュリティ担当者に伝えると、「いや、自分は誰にでも分かる言葉を使って話すよう意識している」と言われることもあるそうだ。だが、実際に用いている説明資料を見ると、「マルウェア」「DDoS攻撃」「標的型攻撃」といった、普通の人にはすんなり理解できない単語が並んでいることが多い。
そして、専門的な用語や略語を避けるだけでなく「必要以上に恐怖をあおらない」こと、そして同時に、「対策はできているから大丈夫だ」といった楽観的な視点で話をしないこともポイントだとした。「“99%大丈夫だ”ではなく、“残りの1%にこういうリスクがある”と説明したほうがいいでしょう」(鎌田氏)
2つ目のポイントは、脅威と脆弱性を特定し、リスク管理の考え方で戦略を策定する「リスクベースアプローチ」を採用することだ。
まずは自社が直面しうるセキュリティの脅威と脆弱性を特定し、リスクアセスメントを行い、優先度が高いと判断したものから具体的な対応策を提示し、実施していく。しかも対策をして終わるのではなく、その後も継続的に攻撃の状況や新たな脅威・脆弱性の有無を判断し、また手を打つといった具合にステップを回し続けることが必要だ。
これも、特に金融業界などでは当たり前に受け止められるかもしれないが、まだまだ一般に定着しているアプローチではないと鎌田氏は話す。
リスクベースのアプローチを取る際にもいくつかポイントがある。まず、いきなり個別の対策から入るのではなく、「全体像」を示した上で説明することだ。初めに結論ありきで「DDoS対策が必要です」「標的型攻撃メール訓練を実施します」と話をするのではなく、前提として全体像やリスクを示すことが理解をえる上で重要だという。
「世の中全体の傾向や自社がさらされているリスクについて説明した上で、その中の1つとして具体的な攻撃を示し、どんな対策が必要かを説明していくやり方をしなければ、なかなか理解してもらえない部分もあります」(鎌田氏)
また、時間軸を念頭に置くこともポイントだとした。今日導入したセキュリティ対策製品が、5年後も同様に有効である可能性は低い。目先の対応だけでなく、5年後、10年後を見据えて何を考慮すべきかも踏まえて経営層とコミュニケーションしていくことが重要だとした。
3つ目のポイントは、具体的な事例を使ってコミュニケーションすることだ。
例えば標的型攻撃ならば、「この攻撃はこういうものです」と技術的な説明を行うのではなく、実際に起きたインシデントをベースに「実際に標的型攻撃を受けたある企業は、このような流れで被害を受け、こんな影響を受けました」とビジネス目線で紹介することで、必ずしもセキュリティの専門家ではない人たちも理解しやすくなるという。
中でも有効なのが「同業他社の事例」、あるいはメディアで大きく報じられた事例だ。 同じ業界の他社の事例を、業界特有の事情に焦点を当てて紹介することで、身近な問題として考えてもらえる。さらに、公表されている報告書などを参考にすることで、「どのような影響が生じるのか」「自社では改善策ができているか」などを検討することもできるとした。
最後に鎌田氏は、改めて「経営者はさまざまな経営課題を抱えており、サイバーセキュリティはその1つにすぎない、ということをまず認識してください」と強調した。必然的に、経営側は、現場が思っている以上にサイバーセキュリティについて理解していない可能性があることを念頭に置く必要がある。
あくまでone of themであるサイバーセキュリティの重要性を分かってもらうには、いろいろな工夫が必要になる。常にスムーズにコミュニケーションをとって相互理解を深めるのが王道ではあるが、ギャップを埋め、状況を打開する策として、第三者による忖度なしの客観的な視点を持ち込むこと、それをきっかけにして本音を言い合える関係作りを進めていくことも必要だとした。
「ここまで話した内容は、決して新しいものではありません。そんなこと知ってるよ、と感じた人も多いでしょうが、ポイントは、分かっていてもできていない人が多いことです」(鎌田氏)。分かっていながら今までのやり方がうまくいっていないのならば、第三者の意見を求めたり、発想を転換してみたりして、自分たちの中にある答えを見出していってほしいとした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から
- DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授
- 医療データを扱うMDV、経営層への説明と現場への関わりのコツ――メディカル・データ・ビジョン 渡邉幸広氏
- 「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え
- スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは? ――ビットバンク 橋本健治氏
- 経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏
- 調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡
- セキュリティ担当者が夜しっかり眠れる運用体制とは?――守りのDXで攻めのDXを支えるアステラス製薬の取り組み
- 独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏
- 脅威環境の変化を把握し、網羅的・体系的なアセスメントを通じて自社の弱点を発見・改善していくサイバーセキュリティリスク管理が重要――東京海上日動火災保険 黒山康治氏
- ハイブリッド戦争は日本にとっても他人ごとではない――慶應義塾大学 廣瀬陽子教授
- 「今日からセキュリティ担当、よろしくね」と言われたら、何から始める? 何を重視する?――freee CISO 茂岩祐樹氏
- コロナ禍やウクライナ侵攻を背景に混迷深めるサイバー情勢、経営層に必要なのは「現場丸投げ」からの脱却――サイバーディフェンス研究所 名和利男氏
- ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏