「現場の問題から役員室の課題へ」。サイバー攻撃から企業を守るセキュリティ対策は、こう言われるようになってきた。もはや単なるITの問題ではなく、経営課題として認識すべき問題になったと言える。現場のセキュリティ担当者は経営層とのコミュニケーションをより重視する必要がある。

 経営層にセキュリティ対策の必要性を分かってもらうためにはどう話をすればいいのか。この新連載では実際のシチュエーションでセキュリティ担当者に役立つノウハウを解説していく。第1回は「経営層と担当者の会話におけるプロトコルを合わせる」をテーマに、3つの活用シーンについて解説する。

会話のプロトコルを合わせる

 以下に紹介する経営層と担当者の会話を見てほしい。

経営層:最近サイバー攻撃がはやっているようだが、ウチは大丈夫だろう?

セキュリティ担当者:今流行しているサイバー攻撃は標的型攻撃と呼ばれるものです。現在のセキュリティ対策では強度が足りません。サンドボックスなどの対策を追加で導入しないことには未知のマルウエアに感染してしまいます。

経営層:追加の対策にはどれぐらいコストがかかる?

セキュリティ担当者:おおよそ1000万円です。

経営層:…(高いのか安いのか判断が付かないので黙っている)

セキュリティ担当者:…(必要な情報は全部伝えたつもりなので黙っている)

 このように、セキュリティの担当者にとっては不首尾なものに終わってしまっている。ではどこに問題があったのか。ビジネスインパクトに関する話が全く出てこない点だ。セキュリティ担当者から経営層へ伝えている内容をまとめると、「現状の対策では不十分」で「マルウエア感染の危険性」があり「追加の投資が必要」となる。ここまではいいが、「自社のビジネスにどういった影響を与えるのか?」というビジネスインパクトに関する説明が会話に盛り込まれていない。つまりは会話の中に、経営層にとって意思決定材料となるような情報が欠けているわけだ。

 ではセキュリティ担当者はどうすればよかったのか。前述の例では、経営者が押し黙ってしまった後にセキュリティ担当者は次のように続けるとよいだろう。

セキュリティ担当者:仮に追加の対策を取らなかったら、復旧には4時間を要し、その間、当社の基幹業務はすべてストップしてしまいます。

経営層:よし分かった。次は具体的な計画を提出するように。