「ニューエコノミー」が説得方法をどのように変えるか―CISO-CEO間の隔たりを埋めるために Part5

EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]

　昨今の厳しい経営環境では、セキュリティをもっと戦略的なものにするようCEOに説得することに二の足を踏む企業もあるだろう。資金を得られない状況で、どうすれば戦略的なセキュリティ業務を実現できるだろうか。だが、ほとんどの情報セキュリティ・プログラムが今も資金調達に成功している。米Price Waterhouse Coopersが世界規模で実施した最近のセキュリティ調査「Global State of Information Security Survey 2010」によると、景気低迷にもかかわらず、セキュリティ予算は今後1年間で増加ないし変化なしだと答えたのは回答者の63％に上った。予算削減に直面している企業の多くは、支出を抑えるか、新規事業を最大で半年間は先送りすると答えている。

　だが実行は簡単ではない。事実、セキュリティ・プログラムは「実施」に際して大きなプレッシャーにさらされている。ほとんどの企業はセキュリティ予算をそれほど大幅に削ってはいない。だがリスクは常に増加しており、セキュリティ対策が追いつかなくなる可能性がある。予算は増えない一方、セキュリティ・チームに期待される責任はますます重くなっているのだ。

　戦略的情報セキュリティに関する主張方法は経済状況には依存せず、リスクをベースとしたビジネス主導型であるのは変わらない。変わるのは、コスト重視になる点だ。したほうが良いことではなく、しなければならないことに注目し、企業の戦略的重要事項にもっとも関係するリスクに基づき、優先順位を設定する。セキュリティ担当役員は、情報セキュリティ・プログラムのどの部分が遅れるかを事前に把握し、その遅れがリスクにどのような変化をもたらすかを明らかにする必要がある。

　経済状況の変化に従い、CEOやほかの経営幹部たちのリスクに対応する意欲は変化することがある。CEOやほかの経営幹部たちがリスク削減よりもコスト削減を優先すると決定した場合、CISOはトレードオフとして受け入れるリスクのレベルをCEOたちに正確に理解させ、リスク増加を容認させなければならない。最終的には、企業が容認できるリスク・レベルに合致するセキュリティを維持するための資金を投入することになる。

　セキュリティ部門の予算が直接の削減対象となっていない場合でも、多くのセキュリティ・チームが削減負担を共有するべきであることを認識しています。そうしたチームでは自分たちの業務を精査し、業務を効率化する手段を模索している。例えばセキュリティプログラム全体を項目ごとに検討し、「この項目を実行しているのは以前からあった慣習だからか、現時点で本当に新しい価値をもたらすからなのか」といった厳しい見方で精査している。これは効率化に関するCEOの目標との整合性を証明するものだ。

　情報セキュリティに関する基本的業務の効率を可能な限り高くすれば、脅威レベルの増大に合わせた体制構築のための新規投資に充てる資金を生み出せる。生産性向上から生まれるこうした独立プロジェクトは、CEOやほかの経営幹部たちの信頼を勝ち取る1つの方法だ。現在の景気低迷は、セキュリティ業務を精査し直して効率を高め、将来の成長に備えるうえで絶好の機会となるだろう。