「正しく怖がる」こと、「自社のビジネスにどう影響があるのか」伝えること
蔵本 サイバーセキュリティを考える前にまず何が大事かって、僕いつも言っているんですけど、「正しく怖がる」ということです。これはいろんな人たちが結構言ってますね。これ、みなさんの会社に、いろんなセキュリティのベンダーさんがいらっしゃってですね、今の世の中はこんなになっておると。ひいては、今のこのセキュリティ対策では、全然足らんと。だからこういうものを買わんとあかんっていうことを、みなさんもよく言われると思うんですけど。
― ありますね。
蔵本 それがホンマにみなさんの環境にとって、いるのか、いらんのかっていうのを判断するのは最終的にみなさん自身しかいないんですね。うちにそれはいらんと言うのか、いや、やっぱりいるわってなるのかは、正しく怖がることができているのかっていうことがすごく大事になってきますし、逆にそれが出来てないと判断しようがないんですよね。
― 正しく怖がるためには、どのような攻撃が起きていて、その攻撃によってどういう不利益を被るかを知る必要がある。
蔵本 そう。経営層とかに伝えるときは、自分の会社のビジネスにどういう風な影響があるんや、ということを伝えることが大事ですね。「このままではマルウェアに感染してしまいます」とか、「ハッキングされてしまう可能性があります」って言ってもそれはただの事象の説明やから、それから守りたいから予算をくれと経営層に言っても、なかなか予算が出ないですよね。単なる事象の説明じゃなくて「自社のビジネスにどう影響があるか」、これを説明していないケースがすごく多いんですよ。経営層が知りたいのは、「マルウェアに感染する可能性があるか」、「ハッキングされる可能性があるか」じゃなくて、「それが起こったらビジネスにどう影響があるか」なので、ここを説明せんと予算は出ないですよね。
事象の報告だけでは、意思決定の材料になってないんですね。つまり、「これを対策しないと、こうこうこういう状態になっていくら損しますよ」とか、「ライバル会社でこれくらい損をしたっていうケーススタディありますよ」とかいう話をせんとあかんということなんですね。自社のビジネスへの影響を常に意識して伝えるということです。
― 正しく怖がる、自社のビジネスにどう影響があるか伝える。
蔵本 そう、まず正しく怖がって、何がリスクなのかをちゃんと把握する。これで、投資がちゃんと妥当かどうかをみなさんが判断するわけですよね。で、予算を取ってくるときになったら、自分の会社のビジネスに、それがどういう影響があるのかっていうことをちゃんと盛り込んで経営層にお話をしていく。ということが、めちゃくちゃ重要なポイントになってきます。
― そのあたりの話も、くわしくセミナーで聞けるということですね。
マイクロソフト蔵本雄一が教える!マネジメントのためのサイバーセキュリティ講座
詳細、お申込みはこちらからどうぞ。
この記事は参考になりましたか?
- この記事の著者
-
小泉 真由子(編集部)(コイズミ マユコ)
情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
