PR
CEOを説得するための10の項目―CISO-CEO間の隔たりを埋めるために Part4
情報セキュリティがビジネス戦略で重要な役割を果たすことをCEO(最高経営責任者)やその他の経営幹部に説得するときに、忘れてはならない10のテクニックを紹介する。包括的なものではないが、考慮すべき事項のうち最も重要なものを集めた。
1. 戦略的ポジションを獲得する
戦略的ポジションはCEOが与えるものと期待してはいけない。これはCISO(最高情報セキュリティ責任者)が自分で獲得しなくてはならないものだ。まずCEOにビジネスを理解していることを証明し、信頼を築くのが先決になる。
組織の管理スキルも重要だ。情報セキュリティは組織全体にかかわるものであるため、完全に一元化することはできない。CISOには、いくつもの組織的境界をまたがって仕事を進める能力が必要になる。
形式も重要な要素になる。最高経営幹部あるいは取締役に報告する場合、言葉によるアップデートだけでなく、形式化/標準化した一貫性のある方法でプレゼンテーションを実施する。
2. CEOの信頼の輪の中におけるセキュリティ推進派を確立する
CEOを関与させるには、取締役や最高経営幹部の直属であり、CEOに影響力を行使できたり定期的に接触できる人物を味方に引き入れる必要がある。
企業によっては、CEOよりも取締役の方が情報セキュリティのことをよく理解している場合がある。取締役会のメンバーは、大きな視点でのリスク問題や信託責任を注視する傾向があり、ほかの会社で経験したことに基づいた観点を持ち込む。そうした取締役会メンバーには、情報リスクの管理に関する戦略的ビジョンを示し、強い印象を与えることだ。そうすれば、彼らがCEOに影響力を行使してくれる。
情報セキュリティへの投資資金を引き出すには、通常は最高経営幹部や事業部門のエグゼクティブへの説得が必要になる。情報保護の責任を予算管理やコスト削減などの目標に絡めて調整することが必要だ。プロジェクト運営の資金を確保するには、セキュリティとコスト間で可能な限り最高のトレードオフを実現することを証明する必要がある。最高経営幹部たちと強力な提携関係を構築すれば、彼らがCEOとの協議で情報セキュリティ担当者の代弁者になってくれることだろう。
3. セキュリティを適切なものに
CEOの戦略的課題を具体的なビジネス目標にどのように変換するかを理解し、その実現に注力すべきだ。CEOがコストに重点を置いている場合、各事業部門はコスト削減目標を掲げる。マーケティング部門では、たとえばソーシャル・ネットワーキング・サービス(SNS)をプロモーションに利用する場合、収集した顧客データを適切に保護することで顧客の信頼を維持できる。人事部門では、契約作業員の身元を適切に管理することで雇用および解雇に伴うコスト削減を支援できる。経理部門では、データ・アクセス管理により監査の実行に要する時間を削減し、コンプライアンス・コストの削減を実現できる。
顧客戦略の一環として、サービスの効率化を図る場合にもセキュリティは有効だ。より多くのデータへの安全なオンライン・アクセスを可能にすることで、電話による問い合わせを減らせる。こうした具体例をCEOやほかの経営陣に提示し、セキュリティが彼らの目標にどのように関係しているかを理解するのを支援することが大切だ。
4. 金額に置き換えて話をする
企業は利益を生み出すために存在しており、CEOが最終的に求めるのも利益だ。CEOから情報セキュリティ・プログラムへのサポートを得るには、それがどの程度最終利益を改善するかを計算で示さなければならない。
米調査会社Aberdeen Groupが最近実施した調査によると、情報リスク管理プログラムによって保護されたクラウド・コンピューティングは、大幅なコスト節約をもたらすことが明らかになった。クラウド・コンピューティングを導入してトップクラスの業績を上げている企業は、ITコストを18%、データセンターの消費電力を16%削減することに成功している。またトップ企業は、クラウド・コンピューティングのメリットを引き出すためには、サービス指向アーキテクチャ(SOA)とクラウドベースのサービス・デリバリを中心とするガバナンス・モデルの構築が不可欠であることを理解していた。ベスト・プラクティスには、クラウド・アプリケーションをモニタリングするための適切なクラウド評価プロセスと、クラウド・チームを対象とする正式なトレーニングが含まれていた。
情報リスク管理によってコスト節約を達成するためのもう1つの方法は、良好なベンダー管理だ。企業はグローバル・ソーシングやビジネス・パートナーシップ、戦略的ベンダー関係によってコスト削減を図っている。こうした関係を築くには、第三者が自社のデータやネットワークにアクセスする際のリスクを評価し、それを軽減しなければならない。米調査会社Information Risk Executive Council(IREC)が実施した調査では、先進の情報リスク・プログラムを持つ企業は、第三者リスク管理予算を最大で64%削減することが可能であることがわかった。
5. メディアの大騒ぎを排除する
CEOや他の経営最高幹部や取締役会は、メディアを通じてセキュリティ・リスクに関する情報の多くを入手している。だがメディアが取り上げる情報セキュリティに関する情報は歪んでいることもある。その結果リーダーは、サイバー・テロやノートパソコンの盗難など、優先度の高いリスクをもたらすことのない対象に注目してしまう可能性がある。CISOは、あらゆる誤解を解消し、CEOやほかの最高経営幹部、取締役会を積極的に教育し、彼らが多くの情報に基づいてリスクに関する意思決定を可能にすることにある。
メディアが自社の情報セキュリティに関する大きなニュース記事を掲載した場合は、すぐさまCEOたちに電子メールを送る。電子メールでは簡単な分析を示し、それが自社の状況にどのように関係するかを説明する。情報セキュリティが企業リスク管理委員会に提出された場合は、自社のリスク・プロファイルに関する正確な情報を経営陣に効果的に広める好機となる。
6. 現実的なものにする
CEOや経営幹部がリスクを正しく理解できるよう、現実的な説明をする。可能な限りリスクを数量化することが大切だ。漠然とした説明ではなく、リスク発生の可能性や発生時の影響、金銭的損失などの具体的な数値を示し、自社を取り巻く市場状況や業界状況、法制度に即して自社にとって現実的なシナリオを詳細に説明する。情報セキュリティはまだ新しい課題のため数字を示すことは容易ではなく、標準的な指標もない。だがビジネス・リーダーに対して情報セキュリティを現実的なものにする数少ない手段が、具体的な数字を示すことなのだ。
ほかの企業で起こった事象を調査し、必ず自社に照らしてプレゼンテーションする。たとえば、PCIの下に保護されていたカード所有者データが漏洩するという事故が発生した場合に、それが自社にどれほどの損害を及ぼすかを計算する。サービス妨害攻撃がどのような意味を持ち、eコマース・サイトが1日ダウンしたらどれほどの金銭的損失をもたらすかなどを説明する。具体的な数字は、マーケティング担当バイスプレジデントや相談役など、ほかの役職者との連携によって導き出す。プレゼンテーションのときは、その連携相手にバックアップしてもらう。
また、リスク評価やリスク関連決定のための枠組について詳述する。リスクに関する話は、誰がどのレベルのリスク決定を下す権限を持っているかという話題に行き着く。情報リスクに関するリスク仮説モデルを形式化すれば、プロセスに明晰さと透明性をもたらし、リスク決定の責任がどの部署に、誰にあるかを明確にできる。
7. 有効な評価指標を設定する
優れた評価指標は、情報セキュリティ投資の価値を正確に測定するのを助けるだけでなく、セキュリティ・プログラムがビジネス目標達成のためにどのようにしてリスクを容認し得るレベルまで維持管理するのかを示す。投資シナリオの費用対効果を明確に表す視覚的ダイアグラムを使い、投資とリスクの間のトレードオフを伝える。たとえば、情報セキュリティ・プログラムの中の特定の要素によってリスクがどう減少するか、そうした取り組みのないまま業務を遂行する場合にリスクがどう増加するかを示す。
自社のプログラムと他社の類似のプログラムとの比較に関するデータを入手する。外部比較やベンチマーキングは、セキュリティ・プログラムを信頼に足るものにし、商業的に合理的なプラクティスの証拠となる。セキュリティ担当役員はそうしたデータを入手するため、ピア・グループやフォーラムに積極的に参加する必要がある。
8. 明確な組織構造を設定する
セキュリティ組織の構造は完全に明確なものでなければならない。一元化していようと分散していようと、事業部門をベースとしていようと、あるいは職能別であろうと、組織構造は企業全体に明確に示し、共有し、制度化している必要がある。セキュリティ実践者たちの最大の弱点は、組織的管理にある。ほかの職能分野では、ポリシーやヒエラルキー、役割が明確に定義され、他の分野の人たちにも十分理解されている。たとえば経理や財務の職能は制度化されているため、そうした部門が何をするかは容易に理解できる。これと同じことが、情報セキュリティについても言えるようにならなければならない。その結果、情報セキュリティ部門が企業の他の部門すべてと良好な仕事上の関係を構築することができるようになる。
9. プランを策定する
詳細なロードマップや明確に定義された目標、管理可能なマイルストーンなどを含んだ情報セキュリティ戦略を立て、文書化する。進捗を測定・評価した上で、CEOやほかの最高経営幹部に伝える。
戦略は技術的戦略とビジネス戦略に分ける。この2つは密接に結び付いていることもあるが、オーディエンスはそれぞれまったく異なる。例えばライン・マネジャーは戦略の技術的側面には興味を持たないが、ビジネス的側面には関心を示す。
10. 人を知り、話しかける
CEOやその他の最高経営幹部と相対するには、個人についてできるだけ多くのことを知ることが重要だ。個人的なスタイルや好みを確認し、コミュニケーション方法を彼らに合わせる。彼らが期待している議論の詳細度や意思決定方法、注目しているものを明らかにする。CEOや他の最高経営幹部と頻繁に話をする人の中で信頼のおける人物を探し出し、アプローチ方法についてアドバイスを求める。特定の方法で何かをプレゼンテーションした場合、CEOはどんな反応を示すかなど、事前に練習することも重要だ。
- Security for Business Innovation Council
- EMCのセキュリティ部門であるRSAセキュリティの主催による業界イニシアチブ
| 執筆 | 特別ゲスト寄稿者 |
|---|---|
| JP Morgan Chase社、Chief Information Risk Officer、Anish Bhimani氏 EMC社、Vice President兼Chief Security Officer、Roland Cloutier氏 eBay社、Vice President兼Chief Information Security Officer、Dave Cullinane氏 CSO Confidential社、創設者兼Director、BP社前Chief Information Security Officer、Paul Dorey教授 Time Warner社、Vice President兼Information Security and Privacy Officer、Renee Guttmann氏 Genzyme社、Global Risk and Business Resources担当Vice President、David Kent氏 Diageo社、Chief Information Security Officer、Claudia Natanson博士 HDFC銀行、Chief Information Security Officer、Vishal Salvi氏 CIGNA社、Chief Information Security Officer、Craig Shumard氏 FedEx社、Chief Information Security Officer、Denise Wood氏 |
First Data社、Chief Executive Officer、Michael Capellas氏 |
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
