「正しく怖がる」こと、「自社のビジネスにどう影響があるのか」伝えること
蔵本 サイバーセキュリティを考える前にまず何が大事かって、僕いつも言っているんですけど、「正しく怖がる」ということです。これはいろんな人たちが結構言ってますね。これ、みなさんの会社に、いろんなセキュリティのベンダーさんがいらっしゃってですね、今の世の中はこんなになっておると。ひいては、今のこのセキュリティ対策では、全然足らんと。だからこういうものを買わんとあかんっていうことを、みなさんもよく言われると思うんですけど。
― ありますね。
蔵本 それがホンマにみなさんの環境にとって、いるのか、いらんのかっていうのを判断するのは最終的にみなさん自身しかいないんですね。うちにそれはいらんと言うのか、いや、やっぱりいるわってなるのかは、正しく怖がることができているのかっていうことがすごく大事になってきますし、逆にそれが出来てないと判断しようがないんですよね。
― 正しく怖がるためには、どのような攻撃が起きていて、その攻撃によってどういう不利益を被るかを知る必要がある。
蔵本 そう。経営層とかに伝えるときは、自分の会社のビジネスにどういう風な影響があるんや、ということを伝えることが大事ですね。「このままではマルウェアに感染してしまいます」とか、「ハッキングされてしまう可能性があります」って言ってもそれはただの事象の説明やから、それから守りたいから予算をくれと経営層に言っても、なかなか予算が出ないですよね。単なる事象の説明じゃなくて「自社のビジネスにどう影響があるか」、これを説明していないケースがすごく多いんですよ。経営層が知りたいのは、「マルウェアに感染する可能性があるか」、「ハッキングされる可能性があるか」じゃなくて、「それが起こったらビジネスにどう影響があるか」なので、ここを説明せんと予算は出ないですよね。
事象の報告だけでは、意思決定の材料になってないんですね。つまり、「これを対策しないと、こうこうこういう状態になっていくら損しますよ」とか、「ライバル会社でこれくらい損をしたっていうケーススタディありますよ」とかいう話をせんとあかんということなんですね。自社のビジネスへの影響を常に意識して伝えるということです。
― 正しく怖がる、自社のビジネスにどう影響があるか伝える。
蔵本 そう、まず正しく怖がって、何がリスクなのかをちゃんと把握する。これで、投資がちゃんと妥当かどうかをみなさんが判断するわけですよね。で、予算を取ってくるときになったら、自分の会社のビジネスに、それがどういう影響があるのかっていうことをちゃんと盛り込んで経営層にお話をしていく。ということが、めちゃくちゃ重要なポイントになってきます。
― そのあたりの話も、くわしくセミナーで聞けるということですね。
