松田 幸裕 記
前回の投稿「「情報セキュリティ白書 2023」から今を読む ~IT導入におけるセキュリティ設計の課題~」では、7月にIPA(情報処理推進機構)より公開された「情報セキュリティ白書 2023」について、セキュリティ関連の設計における課題に触れました。本投稿では別の視点で、経営層によるセキュリティへの関与について考えてみたいと思います。
経営層による情報セキュリティへの関与度合いの現状
下図は、情報セキュリティへの経営層の関与度合いについてのアンケート結果です。
図:情報セキュリティへの経営層の関与度合い
(「情報セキュリティ白書 2023」より)
白書では、以下のように説明されています。
「半数以上の企業がセキュリティ対策をIT 部門等に任せ経営会議で議論されない状況は、CISO 設置率の低さやセキュリティ人材の不足率の高さとも整合し、経営層の情報セキュリティへの関与度合いが低く、管理体制の構築や人材の確保・育成への取り組みが不足していると推察される。「サイバーセキュリティ経営ガイドライン」等を参考に、経営層はリーダーシップをとって、サイバーセキュリティ対策を推進することが求められる」
経営層の関与度合いが低いことが原因なのか?
上記では、「管理体制の構築や人材の確保・育成への取り組みが不足しているのは、経営層の情報セキュリティへの関与度合いが低いことが理由である」と言っているようですが、、、本当にこれが理由なのだろうか?という疑問もあります。
たとえ経営層が関与していなくても、セキュリティ対策を担う部門が適切に上申し、経営層がそれを承認さえすれば、管理体制の構築も人材の確保・育成への取り組みも、十分にできると思います。そう考えると、問題は経営層の関与度合いではなく、セキュリティ対策を担う部門が適切に上申できていないか、あるいは経営層がそれを承認しないかのどちらかかもしれません。
経営層が承認しないパターン
まず、セキュリティ対策を担う部門が適切に上申できていて、経営層が承認しないパターンを考えてみたいと思います。
セキュリティ対策の意思決定は、「投資した場合どうなるのか?」、「投資しなかった場合どうなるのか?」が読みづらいため、簡単ではありません。例えば工場のラインなどでは、「この機械を導入することで全体のコストは1.2倍に増えますが、生産量が2倍になります」というようにわかりやすい効果が見えます。しかしセキュリティ対策の場合、「EDR(Endpoint Detection and Response)を導入することで年間での重大インシデント発生率は50%から10%に下がり、発生時の被害額は3億円から5千万円へ下がります」などのように正確な数字で伝えることは困難です。導入しない場合にインシデントが発生するのかは誰もわかりませんし、導入して売上が上がるわけでもありません。現状のリスクや導入による効果が不明確な中での意思決定となるため、簡単ではないと思います。
そのため、「経営課題とし、経営層の関与度合いを高めれば、セキュリティ対策への前向きな意思決定が行われやすくなる」ということで、経営層の関与度合いを高めなければならない、ということになるのでしょう。
セキュリティ対策を担う部門が適切に上申できていないパターン
続いて、セキュリティ対策を担う部門が適切に上申できていないパターンを考えてみたいと思います。
セキュリティ対策は個別に「このソリューションを導入すべきか?」を考えるのではなく、全体的な視野で「現状で各所にどのようなセキュリティリスクがあるのか、またその発生可能性や影響度は?」、「それぞれのセキュリティリスクに対し、多層防御としてどのような対策が必要か?」などを考えたうえで、その一部として「このソリューションを導入すべきか?」を判断する必要があります。全体を俯瞰してリスクを整理し、現状の課題を可視化し、昨今のセキュリティ脅威動向やセキュリティ対策技術動向を鑑みて、短期や中長期で「こうすべき」という絵を描き、適切に提案を行う必要があります。
これを実践するには、全体を俯瞰し創造する能力が必要です。セキュリティ人材不足による問題もよく挙げられますが、それよりも全体を俯瞰する能力、創造する能力を持つ人材が育成できない問題の方が大きいかもしれません。組織における役割の細分化がなされすぎたことによる影響なのか、あるいはインターネットやSNSの時代になり、人間が深い思考を避けるようになってきたことによる影響なのかはわかりませんが、先ほど書いたように全体を俯瞰してものを見る、または描くことができる人材が少なくなっているかもしれません。
適切な提案を行ったうえで経営層から却下された場合は、それは経営層がリスクを受容するという意思決定をしたことになります。仮に後で重大インシデントが発生したとしても、その意思決定をした経営層が責任をとるべきであり、適切な提案を行った部門が責任をとる必要はありません。逆に、現場で適切な提案ができていない場合、仮に重大インシデントが発生したとすると、部門としての責任は大きくなります。そのようなことが起こらないように、たとえ最終的に却下されたとしても、現場としては上記のように全体を俯瞰しての適切な提案をし続けることが重要ではないかと考えています。