CEOを遠ざけてしまう10の失敗―CISO-CEO間の隔たりを埋めるために Part6

EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]

　情報セキュリティは企業において比較的新しい業務だ。「Chief Information Security Officer（CISO：最高情報セキュリティ責任者）」という役職が生まれたのもここ数年のこと。米Price Waterhouse Coopersが実施した調査「Global State of Information Security 2010」によると、CISOという役職を設けているのは企業の44％にすぎない。だが前年は29％だったことを考えると大幅に増加しているのは確かだ。

　新しい分野だけに、「自分たちは戦略的業務の実行者だ」と考えて間違いを犯す情報セキュリティの専門家も出てきやすい。CEOに良い印象を与える機会を少なくしないためにも、情報セキュリティの専門家がしてはいけないことを確認しておくことは重要だ。

　次に挙げるのは、CEOやほかの経営陣を確実に遠ざけてしまう10の失敗だ。これらを実行してしまった場合、企業の戦略アドバイザーの地位につくチャンスを逃すだけでなく、新しい仕事を探す必要が出てくるかもしれない。このリストは、協議会メンバーによる過去数年間における観察結果や、新米CISOとしてつまずきながらも理解を深めていった経験を持つCEOの意見に基づいて作成したものだ。

1. CEOの時間を無駄にする

　CEOやそのほかの最高経営幹部、取締役会に報告する際は、彼ら/彼女らの時間を無断にしてはいけない。たとえば検出されたウィルスの数やファイヤウォール・ヒット数といった、CEOたちにとっては意味のない詳細な事項を取り上げる、といったことだ。CEOたちにとっては、15分間でも貴重。CEOに接するチャンスを得たら、問題点を厳選して報告する。大きな影響をあたえるリスクやCEOの決済を必要とする事態を中心に、優先順位を慎重に設定する。それほど重要でない問題ばかり取り上げると、単なる雑音と受け取られてしまいかねない。

2. 資金を無駄使いする

　必要のない投資はCEOを怒らせる。CISOの中には、テクノロジーに関して「何でも取り入れる」ようなアプローチを取りがちだ。セキュリティ部門なら持っていた方がよいという理由だけで、何でも購入する人がいる。投資がビジネス・リスクにつながっているかどうかも確認せずに、である。そんなアプローチを取れば、CEOはその人に会社の資金を取り扱うのにふさわしくない人だという烙印を押すだろう。重複の多い非効率的な業務の遂行や、業務を遅らせ生産性を低下させる過剰なセキュリティ手順の導入なども、資金の無駄使いだ。

3. FUDを使う

　不安・不確実・不信（Fear, Uncertainty, and Doubt:FUD）のメッセージばかり発するのも、CEOをなど最高経営幹部を苛立たせる効果的な手段だ。脅威レベルやデータ違反、規則について適切な情報を提供してもらうことが重要だとCEOたちが考えることは言うまでもない。だが、彼らを不安にさせてセキュリティへの投資を促そうとしてもうまくいかない。CEOへのプレゼンテーションで、「サイバー脅威」や「データ違反」といった言葉を使いすぎないようにすることだ。また、「あなたもこうなるかもしれない」といったタイトルで、オレンジ色のつなぎを着た囚人の写真をスライドで紹介するのはやめておくべきだろう。

4. 技術的な話をする

　CEOを退屈させ、聞く気を失わせる最たるものは、セキュリティ・チームがどのようにしてマルウェア・サンプルを分離しているか、暗号アルゴリズムやキー・サイズを選び出しているかといった技術的な話だ。CISOの多くが持つ、技術的なバックグラウンドと特殊な専門的知識は両刃の剣になることがある。サイバー攻撃や防御に関する複雑なテクノロジーを知っていても、リスクをCEOたちに理解できる形で伝えようとすると、うまくいかないかもしれない。CISOの中には、CEOなどの企業経営陣に対してひたすら技術用語で話しかけようとする人がいるが、それは適切ではない。セキュリティはビジネスの問題として取り扱うべきだ。

5. 「言ったじゃないですか」と言う

　即時解雇を希望するなら、事故が起きたときにCEOのところに行き、「こうなるって言ったじゃないですか」と大声で言えばいいだろう。CISOとして努力したのは間違いない。だが、CEOやほかの最高経営幹部たちに潜在的リスクのことを理解させられなかったのも、また事実なのだ。事故が起きたら、CISOはセキュリティ障害に関して何らかの責任を負わなければならない。適切な態度は、「リスクを容認する決定が下っていて、不運なことに事故が起きてしまいました。こうなったら、一緒に問題を解決しましょう」と言うことだ。

6. 問題を指摘するだけで解決策を示さない（または間違った解決策を示す）

　解決のための有力なアイデアがない段階で、CEOに問題を提起してはいけない。テーブルに着くときは、問題ではなく、代替案と解決策を用意しておくべきだ。解決策を提案するときは、それが適切なものであることを確認しておく。会社のカルチャーやその時点での企業目標、経済状況にそぐわない提案はだめだ。開発技術者をレイオフしようとするときに、大規模なアプリケーションの書換えを提案するなどは論外。提案は合理的で、実行可能なものでなければならない。

7. 専門家としての処遇を期待する

　CEOの神経を逆なでしたいなら、セキュリティはほかの業務よりもはるかに重要で、特段の注意を払うべきだと進言すればよい。あるいは全社的に予算削減を実施しようとしているときに、セキュリティだけは対象外とするのが当然だと主張することだ。情報セキュリティの専門家には、リスクが増大すれば、予算も当然増やすべきだと考える人がいる。だがリスクの増加と予算の増額は必ずしも直結するものではない。増大する競争的脅威にさらされていても、競合相手を排除するために予算を増額すべきということにはならないのは、企業のどの部門であっても同じだ。

8. 孤立して業務を遂行する

　経営陣や会社全体の目標と合致しない目標を立てるのは、まったくの見当違いだ。例えば会社全体がデータ処理をサービス・プロバイダーに委託してコスト削減を図ろうとしているときに、ネットワーク境界の保護を強化することに注力し続けるといったことである。

9. 不満を感じさせるポリシーを策定する

　CEOや会社全体を非常に困らせるのは、誰もが不満を感じるポリシーを策定することだ。パートナーたちを全社ネットワークへアクセス可能にすることがビジネスの競争力維持に必要な状況なのに、アクセスを社員に限定するというのがその例だ。フレックス制を必要としているのにもかかわらず自宅からのネットワーク・アクセスを禁じる包括的ポリシーを設定したり、カメラ機能のない携帯電話機を買うことは事実上不可能なのにカメラ付き携帯電話機の使用を禁止し、セキュリティ・デスクで携帯電話機のチェックを義務付けたりすることも該当するだろう。良かれと思って導入したポリシーであっても、ときにまったく非現実的なものである場合がある。現実的になろう。

10. 「ノー」と言う

　これは、Security for Business Innovationレポート・シリーズで繰り返し取り上げてきた重要なテーマだ。情報セキュリティ担当役員はかつて、「いいや、それはできない」と発言する人だとみなされてきた。だが情報セキュリティを戦略的なものにするには「ノー」と言うことはできない。会社がある目的を安全に達成するために、どのような形で支援できるかを考えるのだ。

　本シリーズの「The Time is Now: Making Information Security Strategic to Business Innovation」というタイトルのレポートは、このテーマに基づいたものだった。これは、単に否定するのではなく「わかりました。それを実現するためにセキュリティ面でできることはこれです」と答えられるようにするためのさまざまな提案をまとめたもの。また「Mastering the Risk/Reward Equation: Optimizing Information Risks to Maximize Business」という本シリーズの別のレポートでは、リスクとリワードの適切なバランスをどう設定したらよいかについて、実践的アドバイスを取り上げている。