セキュリティ推進のキモは社長の後ろ盾…というわけで、これまで何人かの社長に話を伺う機会をいただいた。
それぞれさまざまな業種(製造、通信、ホテル、運輸、通販など)、経歴(経理、人事、総務、営業、情報システム出身など)の方々だ。
お伺いしたかったことは、
|
返ってきた回答を集約すると、おおむね、
|
ということだったので、
つまり社長が知りたいことは、
① (結局のところ)当社は大丈夫なのか? ② 他社と比べてどうか? ③ これまでの投資は有効だったのか? ④ (そのうえで)当社の弱いところはどこか? ⑤ 必要な対策はなにか? なぜその対策(方法)なのか? ⑥ 必要な金額はどれくらいか? なぜその金額なのか? |
だと推察し、
以降、社長・役員が出席されるセキュリティアセスメント報告会では、
① 当社におけるセキュリティ脅威は〇〇であり… └ アセスメント結果を視覚的に、発生したセキュリティ事故を添えて ② その脅威を放置すると… └ セキュリティ脅威が当社事業に与えるインパクトは └ 組織としての責任、経営としての責任追及も ③ だからリスクを低減させる対策が必要で… └ 対策優先順位の判断材料(高リスク/投資対効果/他社比較) ④ そのために必要な金額は… └ 当社のビジネス規模、これまでの投資額を参考に |
といったシナリオで、現場のセキュリティ管理者の方々とともに報告資料作成に汗を流し、思いを込めて報告を。
報告の場では、熱心に耳を傾け、質問もいただくこともしばしば。ありがたいことです!
しかし、それでも中には、手ごたえを感じない場合もあって、あまり響いている気がしないことも。
なぜだ?
あらためて社長に聞いてみた。今度は、ざっくばらんに本音でお話ができる社長経験者の方々に。
すると、
- 普段の経営者は、事業収益確保とそのための事業戦略に大半の時間を使い、リスクのことはほとんど考える時間がないものだ。ましてやセキュリティはね。
- やはり言葉の壁は大きいね。Firewallと言われてもピンとこない人は多いのではないか。またウイルスという言葉は知っていても実際に何を引き起こすのかが想像できない人も多いよ。
- 毎朝、日経には必ず目を通すよ。でもそこにセキュリティ事故のニュースが載っていても、「大変だなぁ」で流してしまう人は少なくない。他に知っておくべきニュースがたくさんあるからね。
- 災害や事故は想像できるけど、目に見えないセキュリティリスクを想像するのは難しい。ましてや、他のリスク(災害、事故、為替変動など)と定量的な比較をして、機会損失額と発生可能性に見合った最適な投資額を判断することが難しいのだ(欧米では判断するモノサシが存在するとの事)。
なんか虚しくなってきた。現場で汗をかいているセキュリティ管理者の方も気の毒に思えてくる。
ではどうすれば…?
現場で頑張ってる方々の背中を押すために、今、私にできることは…?
うーん、そうだ! 見方を変えて社長のハードルを下げる努力をしてみようか。
- 少しでも興味を持ってもらうために、社長の価値観(例えば、CSなのかESなのか、社会貢献なのか利益重視なのか)を刺激するように説明を工夫すること
- 少しでも心理的な抵抗を下げてもらうために、先の①~④に沿った報告に加え、冒頭1~6についてブレストをお願いすること。社長が話しながら〝何かに気づいてくれたら〟首尾は上々ですから。
(おまけ)
ところで、いただいたヒントの中には、
- すべての業務プロセスを明らかにすること
- そして、IT部門の方も、当社の業務プロセスを理解したうえで適切なコントロールを施すこと
- さらに、事業部門の方は、例外を許さない(ミスを誘発しない)コントロールを理解すること
もありました。
まさにJ-SOXはこれを目指しているはずではないか! 今あらためて業務プロセス云々が出てくるということは、多くの組織において手段が目的化している証なのではないか?
IT部門と事業部門が互いに協力し合い、時には(いい意味で)けん制し合う環境、風土、組織を目指したいものです。
(ま)