セキュリティ対策における経営層とのコミュニケーションで欠かせないのが「見える化」である。「危険です」といった定性的な説明では経営層を説得できない。

 ここで応用したいのが、フィリップ・コトラーの「購買プロセスの5段階モデル」である。特に重要なのが、その最初のステップとなる「問題認識」だ。この部分を定量化して「見える化」すれば、説得力がまるで違ってくる。

 今回は、サイバーリスクやITインフラ環境について、経営層とコミュニケーションをとるために必要となる「見える化」の手法を紹介する。

購買プロセスの5段階モデル▲
「問題意識」「情報探索」「代替製品の評価」「購買決定」「購買後の行動」で構成する。

リスクを定量化する

 最初のケーススタディーは、来期に向けた予算作りに忙しい経営層と、予算額の上積みをもくろむ担当者の会話である。

経営層:そろそろ来期のセキュリティ対策の予算を確定しようと思う。サイバー攻撃による被害が増え、大規模な攻撃で経営にダメージを被った企業も多くなっているから、ウチもセキュリティ対策を強化する。対策が必要な分野やそのための費用を申告してほしい。

セキュリティ担当者:標的型攻撃などサイバー攻撃への対策を強化するため、来期は200万円ほどの増額予算をお願いします。導入すべき製品やサービスについては既に検討に入っています。

経営層:それなら話は早い。その製品やサービスを導入すると、どういった効果があるのかを説明してくれ。

セキュリティ担当者:はい。ウイルスに対して、より感染しにくくなります。

経営層:しかし、ウイルス対策関連の製品やサービスはもう導入済みだろう。それでは足りないということか。

セキュリティ担当者:サイバー攻撃の手法は年々狡猾になってきています。現行の対策のままでは十分ではないと考えます。

経営層:十分ではないと言われても、そのような曖昧な説明では実感がわかない。そんな予算申請では承認できないよ。

セキュリティ担当者:(慌てて)分かりました。早急に具体的な報告を持ってきます。

 このケースでは、セキュリティ担当者が普段から情報収集している成果も踏まえて現状の対策では不十分だと判断し、経営層に伝えている。経営層もその重要性を感じてはいるものの、意思決定には決め手に欠ける状況だ。こうならないためにも、経営層にはなるべく定量化された指標を使って説明していきたい。

FMEAを活用する

 具体的には、指標として使いやすいFMEA(Failure Mode and Effect Analysis:故障モードと影響解析)の利用を検討したい。例えばインフラのリスクを定量的に把握する場合、FMEAではインフラの構成要素を洗い出して各構成要素におけるリスクを考えていく。

 実際にはワークシートを作成するとよい(図1)。このワークシートを元にして各項目の対策を考える。

図1●ワークシートの項目例
図1●ワークシートの項目例
カッコ内は各項目の説明。
[画像のクリックで拡大表示]

 ワークシートの作成には専門家の協力が必須だ。現状のリスクをしっかり把握しておく必要があるからだ。例えば現在、サイバー攻撃に使用されるウイルスはウイルス対策ソフトだけで防げるようなものではないが、ここでウイルス感染によるリスクをウイルス対策ソフトで十分に低減できていると判断してしまうと元も子もない。想定されるリスクの洗い出しだけでなく、現状の対策や導入予定の対策により、想定されるリスクをどの程度低減できるのかをきちんと把握できる知識やスキルを持った専門家の協力が重要となる。

 また、各項目に対する点数付けに関しても、その定義を決める必要がある。筆者は4点法を勧めるが、10点法のほうが良いと判断したらそちらを採用してもかまわない。ポイントはやはり経営層に対して定量的に「点数化したアセスメント結果を見せる」というところだ。定性的な物言いではなかなか意思決定の材料につながりにくいが、定量的に見せることで判断しやすく、またCIO(最高情報責任者)などのITに関する職種以外の経営層から見た時も同一の指標を元に議論できる。

 ただしFMEAは一度試してそれきりにしてしまうと、結果がどんどん陳腐化していく。よく言われることだがセキュリティ対策はハッカーなどの対戦相手がいるジャンルである。ワークシートの評点にある「発生頻度」「影響度」「防御困難度」は対戦相手の進化とともに変わっていく。「去年は防御困難度1だったが、現在では防御困難度が3になっている」といった変化は日常茶飯事だ。こういった観点からも、ウイルスやハッカーなどの脅威の動向を押さえている専門家の協力を仰ぎたい。

 定期的にFMEAを行い、結果を常にアップデートしていくことを意識しておこう。