ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ対策の費用は
「コスト」か「投資」か

デロイト トーマツ リスクサービス
【第3回】 2017年5月16日
著者・コラム紹介バックナンバー
previous page
4

意思決定は「7、8割の正しさ」で
できるだけ素早く行う

 この点について筆者は以前、ある元企業経営者の方から伺った言葉を印象深く覚えています。それは次のような趣旨で、まさにこの限定合理性を思い起こさせるものでした。

 「“この対策を実施すれば1億円必要で、実施せずに問題が起きれば100億円の損害が出る”というような話で判断すれば良いのなら誰でもできます。しかし実際の経営者の意思決定や判断というものは、そんなものではないのです。確かにあらかじめ検討した内容や積み上げた数字を元に考えるけれども、最後は不確定な要素を含んだまま、判断を下すのです。それでも後になって振り返ると、大体7、8割は正しい判断をしているものです。逆にそこで7、8割正しい判断ができないような人なら、その人は経営者になってはいけないのです」

 この限定合理性という条件のもとで投資の意思決定を適切に行うためには、数字で積み上げた合理的な情報に加えて、経営者自身が持つさまざまな知識や過去の経験等で補う必要があります。しかし多くの経営者はサイバーセキュリティに関する専門的な知識・経験を持ち合わせませんから、その不足部分を支援する人材が必要になります。これは本連載第2回でご紹介したCISOの重要な役割の1つにもなっていくでしょう。

 また政府のサイバーセキュリティ戦略本部が公表している「サイバーセキュリティ人材育成総合強化方針」(平成28年3月31日)では、経営層と実務者をつなぐ「橋渡し人材層」育成の重要性が示されています。この「橋渡し人材層」についても、その専門的知見や経験を元に経営者の意思決定を支援する役割が期待されるところです。

 このように、経営者は限定的な情報を元に、専門的知見を持つCISO等の支援を得て、適切に「サイバーセキュリティに投資する」「リスクの小さな部分には投資しない」という明確な意思決定を行っていくことが求められていくことになります。

参考文献:ハーバート・A・サイモン、二村敏子ほか訳『経営行動:Administrative Behavior: A Study of Decision-Making Processes in Administrative Organizations』第四版邦訳、ダイヤモンド社、2009年7月発行
previous page
4
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧