経営層と現場の情シス担当者がインシデント対策について異なる認識を持っている背景には、組織内での情報共有や優先順位付けの問題が関係しています。DreamArtsの調査では、経営層の多くが「十分な対策をしている」と考えている一方、現場では課題を抱えている状況が明らかになりました。このセクションでは、調査結果を基に、意識のギャップが浮き彫りになった具体的な事例を紹介します。
DreamArtsのレポートでは、セキュリティインシデントが企業経営に与える深刻な影響が指摘されています。例えば、JR東日本のサービス停止や大規模な個人情報漏洩など、ニュースで取り上げられる事例は枚挙にいとまがありません。
調査によると、91%の経営層が「十分なセキュリティ対策を講じている」と考えています。しかし、現場担当者の視点では「未然に防げた可能性のあるインシデントが多い」との声が目立ちます。特に、ランサムウェア攻撃やメールの誤送信といったインシデントが頻発しており、これが多くの企業で課題となっています。
役職ごとの意識差を調査した結果、経営層の68%が「十分な対策がある」と回答した一方で、現場の非管理職層は「十分な対策がある」と回答したのは35.3%に止まり、30%以上のギャップがあります。対策が不十分と感じている割合が高いことがわかりました。
このズレは、経営層がシステムやサービスの導入を「対策済み」と認識する一方、現場では運用や管理の負担が増大していることに起因しています。特に、経営層はセキュリティに対する投資を“ゴール”と見なす傾向がありますが、現場ではその先に続く課題に直面しているのです。
経営層と現場の情シス間での認識ギャップは、単なる情報共有不足だけでなく、組織構造や文化的な要因にも起因しています。特に、セキュリティ対応の成果が目に見えないことや、経営層の知識不足が、これらのギャップを広げています。また、過信や「現場任せ」の姿勢も課題として挙げられます。このセクションでは、こうした背景に焦点を当て、ギャップを生む根本原因を掘り下げて解説します。
経営層がセキュリティを軽視する一因として、インシデント対応の成果が目に見えないことが挙げられます。インシデントが未然に防がれた場合、その取り組みは「問題なし」と判断されがちです。
また、セキュリティインシデントが表面化しない限り、経営層は現場の努力やリスクを正確に認識しづらいのが現状です。
DreamArtsのレポートでは、情報共有の不足が組織内の課題として挙げられています。特に中小企業では、情シスが経営層に直接報告する機会が限られ、現場の声が届かないまま意思決定が行われることが少なくありません。
社長は必ずしも情報システムに詳しいわけでもなく、中小企業では担当役員が存在しないケースも多いです。経営層の中には、基本的なセキュリティ知識が不足しているにもかかわらず、「十分な対策を行っている」と過信するケースが散見されます。例えば、「暗号化」の重要性を認識している経営者は少ないものの、暗号化の管理に不備があると指摘される事例が多いです。
意識格差を埋めるには、現場の取り組みを経営層に「見える化」し、適切に共有する仕組みを整えることが不可欠です。定期的なレポートや経営層との直接対話、さらにはセキュリティ教育を通じて、認識の差を縮める努力が求められます。このセクションでは、ギャップを解消するための具体的な施策を3つ提案し、それぞれの実践方法をわかりやすく解説します。
情シスが行っている日常的なインシデント対応や予防策を、経営層にとって分かりやすい形で「見える化」することが重要です。たとえば、以下のようなデータを定期的に共有します。
インシデントの予防実績:年間で未然に防いだ攻撃件数や種類をレポート化。
経済的な影響:防いだインシデントによる損失回避額を具体的に計算する。
リスク評価:現行の対策を怠った場合に予測されるリスク(損害額や信用喪失の可能性)をシナリオとして提示。
これにより、情シスの活動が経営層に「会社の利益や成長に直結している」と認識されやすくなります。また、数値データを使うことで、主観的な意見に頼らず説得力を持たせることができます。
紙ベースの報告だけでなく、ダッシュボードなどを活用してインシデント対応状況やシステムの稼働状況をリアルタイムで確認できる仕組みを導入するのも効果的です。これにより、経営層が現状を常に把握でき、問題が起こった際の即時対応につながります。
経営層を巻き込む「インシデントレビュー会議」
定期的に「インシデントレビュー会議」を開催し、過去に発生した事例やヒヤリハット※2を共有します。この場で、情シスがどのように対応し、どのような教訓を得たのかを具体的に説明することで、経営層の関心を引き出します。
さらに、以下の内容を含めると効果的です:
・インシデントが発生した原因とその背景
・実施した対応策とその結果
・再発防止のために必要なリソース(予算・人員)の提案
ヒヤリハットの共有は現場と経営層のギャップを埋めるためには特に重要です。労働災害の分野で経験則的に語られる「ハインリッヒの法則」に出てくる言葉で、1件の重大事故の背景には29件の軽微な事故があり、軽微な事故の背景には300件のヒヤリ、ハットした事象があるという法則です。これ自体も有名な法則ですが、前述の可視化と合わせて数字とともに示すことでより説得力のある共有のばになるでしょう。
経営層にセキュリティの最新動向やリスクを学んでもらうため、年に数回の勉強会やワークショップを実施します。専門家を招いたセッションを通じて、経営層の知識をアップデートし、情シスの取り組みを深く理解してもらうことができます。
数字や事例だけではなく、経営層が自らのリスクとして捉えやすいシミュレーションを提供するのも有効です。例えば、以下のようなシナリオを設定します:
・顧客データが漏洩した場合の想定損害額(訴訟コスト、信用低下、契約キャンセル率)
・システムダウンによる生産性の低下や売上損失のシナリオ
・セキュリティ対策の怠慢がメディアで報じられた場合の企業イメージへの影響
具体的な数字やビジュアルを用いて説明することで、経営層はリスクを現実的に捉えやすくなります。
セキュリティ対策を「守り」ではなく「攻めの投資」として位置付ける考え方を共有します。具体的には、セキュリティの強化が企業ブランドや競争力の向上につながる点を強調します。これにより、単なるコストではなく、将来的な利益を生む投資として捉えてもらいやすくなります。攻めの投資として認識を得るためには、会社の事業特性やブランドの方向性を絡めるとより良いでしょう。例えば、ITサービスを提供するのであればセキュリティが需要なのはいうまでもありませんが、建築など一見情報システムと関係ない事業でも、お客様は個人であり、社員は多くの個人情報を扱うことになりますし、補修なども含めるとお客様とは長い付き合いになります。そのため、情報セキュリティに力を入れていることをアピ^ルすれば、お客様にも好印象を持っていただきやすいでしょう。
インシデント対応は、経営層と情シスが協力して取り組むべき課題です。経営層が現場の声を正しく理解し、リスクマネジメントに積極的に関与することで、企業全体のセキュリティレベルを向上させることができます。
現場が抱える課題や取り組みを可視化し、対話と教育を通じて経営層の理解を深めることが、意識格差を埋める鍵となるでしょう。この記事を参考に、まずは社内での情報共有の見直しから始めてみてはいかがでしょうか。
著者:犬を飼っているゴリラ
大手IT企業に入社し、フロントエンド、PFシステムの開発に従事。その後、IaaSサービスなどの各種サービス事業開発に携わったのち、大手HR・販促事業会社に転職した。2018年にMBAを取得し、現在も国内大手メーカーの新規事業企画、プロダクトオーナーなどを担っている。
(TEXT:犬を飼っているゴリラ 編集:藤冨啓之)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
イベントページはこちら30秒で理解!フォローして『1日1記事』インプットしよう!