悩み(11) 経営層にセキュリティ対策の事業遂行上の重要性を理解してもらえない
m社は、事業戦略としてEC事業への進出を企画しており、サイバーセキュリティの主管部門である情報システム部門は、セキュリティ強化の必要性を認識していた。しかし、EC事業を行う事業部門はECサイトを通じた売り上げ増加に注力しセキュリティ検討が後手になっており、情報システム部門は、経営層に対してその必要性を十分に伝えきれていなかった。
基本情報
m社の状況
- 販売店による売り上げの減少を補うため、ECサイトを通じた直販を企画している。
- 同業他社でサイバー攻撃による情報流出が起き、事業部門もセキュリティ強化が必要と考えている。
- セキュリティ対策は自社の情報システム部門・担当者が全て行う事が当たり前となっており、経験や知見のある責任者がいない。
- 経営層は、セキュリティ対策によるサービスの開始遅延や追加コストを懸念している
m社のプロフィール
| 業種 | 小売業 | |
|---|---|---|
| 規模 | 300人 | |
| 管理 体制 | CISOの有無 | 無 |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | 情報システム部門 | |
セキュリティ担当者の問題・悩み
m社のサイバーセキュリティの主管部門である情報システム部門は、主に社内のIT機器の運用・サポートを担当しており、これまで、事業戦略の立案への関わりや、経営層へ報告を行う機会はほとんどなかった。
そのため、サイバーセキュリティ強化の必要性を、経営層に対してどのように伝えれば理解が得られるのかわからなかった。
取組(11) 事業部門と協同し、事業戦略の一環としてセキュリティ対策の必要性を訴求する
解決に向けたアプローチ
そこでm社の情報システム部門は、 EC事業を行う事業部門と協同し、経営層に対してサイバーセキュリティの必要性を訴求することにした。両部門の担当者が議論を重ねて、事業の目標や必要なセキュリティ対策を摺り合わせ、事業の目標と整合したセキュリティ対策を取り纏めたうえ、事業戦略に関する報告の一環として、経営層に報告した。
情報システム部門が事業部門と協同で行った経営層への報告例のイメージ
こうした報告を継続して実施することで、経営層に対し、EC事業への進出(ビジネスモデルの変革)において、セキュリティ対策が不可欠であることを理解してもらった。なお、m社では、今回の対応を契機に、その後も、経営層に対して定期的にセキュリティに関する報告を継続している。
得られた知見
経営層に対し、サイバーセキュリティの必要性を理解してもらうためには、個々のセキュリティ対策のみを報告するのではなく、事業戦略の一環としてリスクと対策を整理し、報告することが重要である。
そのためには、サイバーセキュリティの主管部門と事業戦略を企画・立案する部門との密な連携が必要である。