「セキュリティを経営層へ説明しても、なかなか納得してもらえない、理解してもらえない」という経験を持つ読者は多いと思う。本連載は読者が「経営層へセキュリティ対策を説明できる」ことを目標とし、様々なトピックを“非”技術的に解説していく。

 第1回となる今回は、よく耳にする勘違いを紹介していこう。あなたはこんな勘違いをしていないだろうか。

勘違いその1「経営層がセキュリティに投資しないのは、対策をしても売り上げが増えないから」

勘違いその2「セキュリティは利便性の対義語である」

勘違いその3「危険な技術は利用しない」

 上記はセキュリティ対策を進める上で非常に重要だが、しばしば勘違いされている項目だ。あなたが、これら三つを見てギクッとしたのであれば、ぜひ今回の記事に目を通して頂きたい。

経営層がセキュリティに投資しないのはお金を生まないから?

 まず、経営層が投資についてどう判断するか考えてみよう。難しく考えることはない。投資の意思決定を行う際に「投資したら得する」「投資しなかったら損する」と判断された場合に、投資が行われる。セキュリティに対する投資では、「投資しなかったら損をする」ことをいかに経営層が理解し、納得できるように説明できるかが重要となる。

 では、なぜあなたの説明で経営層が理解し、納得してくれないのだろうか。多くは、経営層に対して技術的な説明をしようとしてしまっているのが原因のはずだ。経営層に対して、技術的なリスクを説明しても理解してくれるはずがない。技術的なリスクの説明は経営層にとって、単に事実を解説しているだけにすぎないからだ。

 経営層と対話するには、「その事象がいかにビジネスに悪影響を与えるか」という部分が重要だ。例えば、あなたは経営層に対し、次のような説明をしていないだろうか。

「この対策をやらないとウイルスに感染してしまいます」
「この対策をしないとハッキングされてしまいます」