Tweet

マカフィー CSOが指摘

クビにならないためにセキュリティ担当者がすべきこと

2007/06/15

　「ガートナーによると、2008年までに15％のCISO（Chief Information Security Officer）がビジネス価値を提供できないために更迭されるといわれている」。米マカフィーのチーフ・セキュリティ・オフィサー Dr.マーティン・カーマイケル（Martin Carmichael）氏は6月15日に会見し、こう警告した。ビジネス部門からはセキュリティにコストをかけることが理解されず、セキュリティ部門が経営の足を引っ張るお荷物とされていることが背景にある。カーマイケル氏は「セキュリティ担当者はビジネス部門と敵対せず、パートナーとしてコミュニケーションしないといけない」と話した。

米マカフィーのチーフ・セキュリティ・オフィサー Dr.マーティン・カーマイケル氏

　企業でセキュリティ対策が疎まれる理由は、セキュリティ担当者が技術面のメリットばかりを強調し、ビジネス面での価値を明らかにできないからだ。セキュリティ技術を説明されても、CEOをはじめとするビジネス部門では理解が難しい。エンドユーザー部門からは「セキュリティ部門は仕事をやりにくくする」と捉えられる。カーマイケル氏は「これを止めないといけない」と強調した。

　セキュリティ担当者とビジネス部門とのコミュニケーションに必要なのは、「セキュリティ対策の定量化」とカーライル氏は指摘する。セキュリティ対策が実現する経営上のメリットを数値で示し、それをセキュリティ担当者とビジネス部門との共通言語にするのが重要という。「投資家は財務管理のレポートを担当者に求めるのが普通だろう。同じことがセキュリティでもあるべきだ」

　ただ、セキュリティ対策の経営への貢献を定量的に分析することの重要性は長く指摘されてきたが、実現した企業は少ない。事件や事故が起きて初めてその影響が判明するセキュリティ対策では、事前に影響を予測し、最適な投資額を見極めて、ROIを測定することが難しいからだ。カーマイケル氏は1つの方法として、あるビジネスプロセスについてCIAA（機密性、完全性、可用性、監査）の現在の達成率を割り出す手法を紹介した。現在の達成率を望まれる達成率にするためのコストを計算し、そのリスクを企業としてどう扱うかを決定する。

　企業にとってはすべてのビジネスプロセスでセキュリティリスクをゼロにすることが望ましいとはいえない。ゼロを達成するために膨大なコストが必要になるのであれば、考え直さないといけないだろう。カーマイケル氏は「セキュリティ部門とビジネス部門が、そのリスクを受け入れるのか、受け入れないのかをビジネス価値を基に評価しないといけない」と説明した。