なぜ経営者が情報セキュリティに
コミットしなければならないのか
――情報セキュリティの脅威に経営者はどのように立ち向かうべきでしょうか。
情報セキュリティに関する国際標準において、「経営者はセキュリティにコミットしなければならない」と明記されています。わざわざ書かれているということは、コミットしていない経営者がいかに多いかということの表れでもあるのですが。
経営者にとっては、セキュリティはプロフィットではなくコストと捉えられています。実際、セキュリティのことばかり考えていては儲けが出なくなるということもあるでしょう。一方で、セキュリティは網羅的に対策する必要があります。例えば家に窓が10枚あって、8枚は鍵をかけていたけれど2枚はかけずに残っていた、となれば全部に鍵をかけていないのと同じこと。「8割対策できていた」とはならないわけです。
企業の事業や業務全体を網羅的に見通せる人といえば、経営者しかいません。ですから経営者がセキュリティを見る必要があるのです。経営者がセキュリティ対策にコミットせず、技術に詳しい人や特定の部署に任せてしまっている企業は、脅威に対して脆弱と言えるでしょう。
セキュリティの難しいところは、会社や業界によってリスクの範囲が異なることです。金融業界なら信用重視でお金がかかっても安全性を高めたいところを、ベンチャー企業では勢いと速度が大切な時期だから、セキュリティにかけるコストや時間はまだ抑えておこうと判断することもあり、適切なセキュリティの水準(受容水準)が異なります。このことがセキュリティ対策を定めた法律を作って一律に対策する、といった手段がとりにくい理由にもなっています。だから、各社各様にセキュリティポリシーを定めているわけです。
経営層の大事な仕事は、まさにこの受容水準を見極めることにあります。これを判断できる能力と責任を持っているのは経営者だけです。「ITには詳しくなくて」という経営者も多いかもしれませんが、自社のセキュリティにとって経営者のコミットが必須であるという点は認識しておかれると良いと思います。