編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内
松岡功の「今週の明言」

セキュリティ対策を上手に推進するテクニック

松岡功

2014-08-01 13:19

 本連載「松岡功の『今週の明言』」では毎週、ICT業界のキーパーソンたちが記者会見やイベントなどで明言した言葉をいくつか取り上げ、その意味や背景などを解説している。

 今回は、ガートナージャパンの礒田優一 主席アナリストと、米OracleのHong-Eng Kohシニアディレクターの発言を紹介する。

「情報セキュリティの装備に向け、IT部門は経営者に単に予算を求めるのではなく、選択を求めよ」
(ガートナージャパン 礒田優一 主席アナリスト)


ガートナージャパンの礒田優一 主席アナリスト

 ガートナージャパンが先ごろ開いた「ガートナー セキュリティ&リスク・マネジメント サミット2014」において、ガートナーリサーチ部門の主席アナリストを務める礒田氏が、企業における情報セキュリティへの費用のかけ方などについて講演した。同氏の冒頭の発言は、IT部門が経営者の判断を仰ぐ際の取り組み方について語ったものである。

 企業は情報セキュリティにどれだけの費用をかけるべきか。多くの企業が悩むこの課題に対し、礒田氏は2つの問題を解消する必要があると説く。

 まず1つは、そもそも経営者にはリスクへの正しい理解がなく、IT部門の情報セキュリティ管理者も単に「予算」を求めてしまうことだ。特に経営者が情報セキュリティに対して求めているのは、とにもかくにも「万全な対策」だ。しかし、例えば完全な防御を実現できるかといえば甚だ難しい。

 では、IT部門はどうすればよいのか。礒田氏は「経営者からまず、完全な防御はあり得ないということへの理解を得る。その上で、単に予算を求めるのではなく、選択を求めるのが望ましい」という。選択とは、リスクの高低がある中でどのレベルを選ぶかを意味する。当然、リスクを低く抑えればコストは高くなり、コストを低く抑えようとすればリスクは高くなる。その中でどのレベルを選ぶかは「経営判断」というわけだ。

 そこでもう1つの問題が出てくる。経営者は何を目安に選択すればよいのか。リスクへの正しい理解がない中での選択は無理な話である。礒田氏は、その判断材料はIT部門が提供すべきだという。具体的には「自社のビジネスをよく踏まえたプレゼンテーションの上で、リスクレベルの異なる松竹梅の選択肢を提供するのが望ましい」と語る。

 経営者へのプレゼンテーションについては、「情報セキュリティ対策の細かい説明はいらない。経営者は対策の中身など興味がない。さらにいえば技術の話は禁物。技術については抽象化して話すようにする。そして脅威やリスクを必ずビジネスと関連づけて説明し、情報セキュリティ対策がビジネス価値の向上につながるといった前向きな話を盛り込むのが望ましい」とアドバイスする。

 礒田氏によると、ガートナーによるユーザー企業調査では、IT総予算に占める情報セキュリティ予算額の割合は5~7%が平均という。これより低ければ、経営者への働きかけと強めたほうがよさそうだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]