マイナビニュースマイナビ

サイバーセキュリティについてIT部門は経営陣に何をどう伝えるべきか?

[2018/08/29 08:00]齋藤公二 ブックマーク ブックマーク

網羅すべきポイントは?

では、取締役会がリスクをしっかりと把握して、自信を持ってもらうためにはどうすればいいのか。そこで、2つ目の論点である「どのような情報を網羅すべきか」が重要になってくる。マクミラン氏は、網羅すべき情報として大きく次の4つを挙げる。

  • サイバーセキュリティ関連の重大リスクは何であり、それらは制御下にあるか
  • 安全を維持するために何をしているか
  • 当社のセキュリティプログラムは他社のプログラムに比べてどうなのか
  • 最新のインシデント、規制、メディアの誇大広告について

これらの情報を説明する際には、テクノロジー観点で話すのではなく、ビジネスの観点から見た意味を話すことがポイントだ。テクノロジーがいかに”クール”であっても、取締役会はその部分にはまったくと言ってよいほど関心がない。理解し、重視する取締役がいてもごく一部だ。

そこで例えば、「当社では機密文書の扱いをそれぞれ個別の重要資産として制御できていません。戦略的知的財産の深刻な情報漏洩が起こる高いリスクがあります。当社独自の製品と製造に関する機密が失われると、ビジネス機会が失われます」といったような言葉で訴える。

また、インシデントが発生する可能性とビジネスインパクトをマトリックスとしてマッピングして示したり、テクノロジーのリスクがビジネスインパクトにどうつながっていくのかをフローチャートで示したりすることも効果的だ。視覚的に効果を訴える方法として、ランキング形式の表や、レーダーチャートなども使えるという。

重大なリスクをどの程度十分に(あるいは不十分に)管理しているかを示す/出典:ガートナー(2018年7月)

逆に、よくある失敗としては、「恐怖、不安、疑念をあおるだけになってしまうこと」だという。「状況の危うさを示す数字はすぐに見つけることができます。しかし重要なのはこれからどうするかであり、それが致命的かどうかということです。また、単なる不安ではなく、影響を与えるリスクかどうかまで詰める必要があります。『事実』『リスク』『将来』『実行可能な計画』がキーワードです」(マクミラン氏)

3つ目の論点である「どのような方法でプレゼンテーションをすればよいか」は、エンジニアやプログラマー畑の人間にとっては、本質的ではない議論のようにも思えるかもしれないが、極めて重要だという。

「まずは聞き手をよく知ることです。どのような人物か、どのような実務経験があるか、取締役会でどのような役割を果たしているか、どのようなバイアスと情熱を持っているかを調べます。プレゼテーションというのは好みの問題です。相手の好みに合わせてプレゼテーションの方法を変えていくことが求められます」(マクミラン氏)

実際のプレゼンでは、スライド5枚、テキストページ2枚を基本とし、筋書きに説得力を持たせ、簡潔にする。また、自分の主張と推奨事項の全てを裏付けるエビデンスを示せるようにしておく。最後にマクミラン氏は次のようにアドバイスし、講演を締めくくった。

「私なりに重視していることは3つあります。1つ目は、自分の言葉でなく、相手の言葉を使うこと。2つ目は、資料では『数字は1ケタ(端数は使わない)、色は原色を用いる』こと。3つ目は『想定外の質問への心構え』をしておくことです。自分の世界を彼らの世界へと変換してください。取締役はWannaCryの詳細には関心がありません。彼らが重視しているのは、それによってビジネスがどのようなダメージを受けるかだけなのです」(マクミラン氏)

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

デジタル化が進む世界で必要な

デジタル化が進む世界で必要な"次世代のIAM"を実現するには?

ガートナー ジャパンは7月24日~26日、年次イベント「セキュリティ&リスク・マネジメント サミット 2018」を開催した。2日目には、米ガートナー バイス プレジデントのアント・アラン氏が登壇。「アイデンティティ/アクセス管理の現状:2018年」と題した講演を行った。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る