経営層にセキュリティを理解させる技術

2025, Aug 25    

以前紹介した”セキュリティ担当者のためのセキュリティエンジニアとして活躍するために身につけておきたいSC思考”の著者が記した本になりますが、内容は異なります。同時に、今まさに自分が知りたいことがタイトルに書かれています。

情シスが社内にセキュリティの導入を進めることは多いと思います。しかし情シスはコストセンター、ただでさえお金を稼いでいない立場です。そのうえで会社にとっては追加のコストとなるセキュリティ対策をお願いしなければならないのです。 仮にあなたが会社のセキュリティ業務を密接かつ濃厚に携わっていたとします。取引先からもセキュリティ対策を求められ、社内のセキュリティの弱点も見えています。社会のニュースを見ていると明日は我が身、そうそうに脆弱性を潰しリスクを減らす必要があります。経営層に提案しなくては！ ・・・しかし経営層は首を縦に振りません。そしてインシデントが発生しました。「なんで早くセキュリティ対策を導入しなかったんだ！」という未来は想像したくはありません。

僕も会社のCTOと話をすることがあるので身をもって分かっていることがあります。経営層は情報漏洩がブランド価値を損なうこと、法規制が厳しくなっていること、取引先から厳格なセキュリティ要件を求められていることは理解しています。また最新の技術についても僕たちより知っていることもあります。ではなぜ首を縦に振らないのか。経営層は文字通り経営を行っているため、まず第一に考えることはビジネスです。それに対してエンジニアは往々にして技術を語るため、提案された経営層はこう考えます。

• リスクは分かっているが、今すぐ対応が必要なのか？
  • 専門用語だらけで分からないから決められない
  • リスクの大きさが分からない、どれくらい危ないのか、どんな影響があるのか
• この投資は企業の成長につながるのか？
• 他の事業投資に比べて優先すべきなのか？

このギャップを埋める具体的なテクニックが紹介されています。以下を説明に盛り込むべきだ、とあります。

• 被害の可能性
  • このような脆弱性があるよ
  • 年間でこれくらい被害がでているよ
  • 競合他社は何％対策済みだよ
• 対策にはこれくらい費用がかかるが、対策し損ねるとこれくらいの損害が出る
  • 競合他社の対応状況
  • 競合他社の被害実例
• 投資対効果
  • どの程度リスクが軽減されるのか

経営層が知りたいのは”リスク”と”費用対効果”です。「CVSSスコアが9です！」と言われても、だから何？です。”経営層が知りたいこと”を語ってこそ経営層の関心を引き、意思決定に繋げられます。

• ビジネスインパクト（業務、ブランド、財務への影響）
• リスク=発生確率×被害額
• 投資した場合X％削減可能、投資しない場合攻撃を受ける確率はX％、損害額何億円

ビジネスインパクトについては他社事例を念頭に説明ができるでしょう。しかし確率についてはどこまで正確な数値を導き出せるのか。コンサルタントじゃないとまとめられないのではないでしょうか。そのためこの本に書かれていることをすべて実現することは難しいと感じました。資料に使う情報を確度高く出すには、以前このブログでも紹介したOSINT（Open-Source Intelligence）の活用が必要と思いますが、セキュリティを片手間ではなく本職として行わないととても手が回らないですし。 しかし一部でもエッセンスを盛り込めば、今より優れた提案を行うことができると考えました。本書には経営層の意思決定を促すためにプレゼン資料に盛り込むべきエッセンスや、ケーススタディが紹介されています。ネタバレ防ぎますが、「BRAフレームワーク」と「3Cフレームワーク」は今まさにセキュリティツール導入の提案資料を作成しているので、大いに参考にさせてもらいます。

読んだ感想としては、経営層への説明には技術は必要ですが、その一方小賢しい方法は通用しないな、と思いました。リスクを煽るのではなく意思決定を促す。「今サイバー攻撃を受けたら企業存続の危機です！」みたいな説明は最悪。 経営層は経験豊富ですし多くの人を見てきています。そんな小手先のテクニックは見抜くし、不誠実軽薄な人間と思われてしまうでしょう。セキュリティを担当しているのですから、信頼性（Reliability）第一です。そしてコスト部門といえ僕らは会社の構成員、会社の成長のためにセキュリティ対策がプラスの効果があることを（これは事実ですし）自信をもって示していきたいです。いきなりすべてのセキュリティ対策を行うのは工数からも、費用からも現実的ではありません。少しずつ改善していきましょう。