上手な経営層の巻き込み方とは？KISC Vol.4活動レポート

3行でわかる本記事のサマリ

• ストーリーにしよう
  • 経営層の言葉を借りて説明し、経営方針に沿った形でロードマップを描くことが重要。
• 投資対効果を明確に
  • ROSI（Return on Security Investment）、ホラーストーリー、スコア等を使って説明し、新たな施策を導入する際には現状を見直し、やらないことを決めることが重要。また、攻撃の総量と守っている割合を相対的に示すことも有効。
• 最後はパッション
  • セキュリティのラストパーソンは自分であるという情熱で経営層を巻き込みましょう！

目次

1. 経営層への上申はなぜ難しい？
2. 上申時の工夫
3. 日頃からの意識づけ ～経営層向にセキュリティの重要性を理解してもらうには～
4. まとめ
5. 参加者の反応

はじめに

こんにちは、マクニカでSplunkエンジニアをしている堀内です！企業のセキュリティ対策といえば、SOCの運用や脆弱性診断といった技術的な取り組みを思い浮かべる方も多いかもしれません。ですが、その前に重要なのが「セキュリティ対策方針の策定」です。
マクニカでは、そんなセキュリティの企画・導入・文化浸透を担う人たちが集まって互いの知見を共有し、現場の課題に取り組むためのコミュニティを運営しています。その名も「関西情報セキュリティコミュニティ（通称：KISC）」。昨年11月にスタートしたこのコミュニティも、おがけさまで1周年を迎えました🎉
今回のKISC Vol.4のテーマは「上手な経営層の巻き込み方」 。

• 経営層にセキュリティ予算の妥当性を理解してもらうには？
• セキュリティ運用のKPIをどう定める？

といったリアルな悩みをみんなでディスカッション。参加者同士の熱い議論が交わされました！この記事では、当日の様子や話題になったポイントをお届けします。

1. 経営層への上申はなぜ難しい？

多くの参加者が共通して感じているのは、セキュリティ投資の妥当性を理解してもらう難しさでした。
「セキュリティ投資は売上に直接つながらない」
「費用対効果やKPIをどう説明するか難しい」
「セキュリティ投資金額が身の丈に合ったものであることの理解を得にくい」
こうした悩みを持つ方が多い中、「パッチ適用率やEDRの検知数など、具体的な指標で説明するのはどうだろう？」といったアイデアも飛び出し、会場が熱い議論に包まれました。

2. 上申時の工夫

「会社の方針（IT戦略やDX戦略）と紐づけてセキュリティ戦略を説明する」
「中期計画にあらかじめ盛り込んでおく」
「何が良くなるのか、価値をストーリーにして伝える」
など、皆さんそれぞれが実施している内容について意見交換。発表者の方の発言に頷きながらメモを取っている姿が多数見受けられました。

3. 日頃からの意識づけ ～経営層向にセキュリティの重要性を理解してもらうには～

セキュリティの重要性を経営層に理解してもらうための施策については、多くの企業が課題を抱えているようでした。「e-learningを経営層にも提供しているが、十分に活用されていない」など、特に経営層は攻撃者から最も狙われやすい存在でありながら、その重要性を理解してもらうことが難しいという声が目立ちました。
一方で、具体的な工夫として次のような意見も。
「上司が経営層と近い立場なので、小さなトラブル（いわゆるボヤ）の段階でも早めに報告し、リスクを共有している」
こうした取り組みが経営層との距離を縮め、いざという時に意見を伝えやすくする下地作りに役立つといった意見も出ました。経営層に向けた日頃の働きかけの重要性が再確認された議論でした。

4. まとめ

皆さんの白熱した議論から、事務局が印象に残っているポイントをまとめてみました。 

5. 参加者の反応

セッション後の振り返りでは、以下のような感想が寄せられました。
「新しい観点の意見を多く聞くことができた」
「普段話せないナレッジをシェアできた」
「他社での取り組み方・考え方を知ることができた」
普段は共有しづらいリアルな課題とその対策を話し合えるKISC。1周年を迎えた今後も、さらに実践的なテーマで盛り上がりを作っていきたいと思います！

最後に

「関西情報セキュリティコミュニティ」に是非参加してみたい、という方は以下HPからコミュニティへの登録、お待ちしています！ 　
※東京・名古屋にも開催地を拡大中！

▼関西情報セキュリティコミュニティHP