情報セキュリティ投資 最後は経営者の勘
こんにちは、丸山満彦です。先日、日本経済新聞社主催のセキュリティ会議「企業の情報セキュリティ投資とガバナンス 」にパネリストで出ていました。セキュリティ投資の適正レベルが分からないのでどうしたら良いのか?というのがテーマのひとつでした。
わたしは、その席上で、「最後は経営者の勘だ」という話をしました。知人から、「そんなことを言っても、何のソリューションにもならないじゃないか・・・。勘と言われても困る。」と言われましたが・・・
情報セキュリティ対策に対する投資の妥当性の判断が難しい理由は、概ね次の理由だと思います。
①過去の経験が使えない
(1) 歴史が浅い
(2) 環境変化が激しい Moving Target
②効果が目に見えない
(1) 事故が起こらなければ、投資効果は0に見えてしまう
(2) 成功イメージが分かりづらい
③資金調達を必要とするほど大きな投資ではない
①は「判断材料が少ない」という話です。意思決定をする際には、過去の経験や他社事例などを判断尺度として行うのだと思います。しかし、その材料が少ない。なので、迷う。
②は「効果が見えない投資はしにくい」という話です。「営業所を10億円かけて新設したところ、毎年の利益が2億円増加した。5年で元がとれそうだ。」というのであれば、成功した投資といえるし、「毎年赤字ですよ。」というのであれば失敗した投資となる。結果がでるので、投資をしやすい。つまり、投資をする前から成功イメージと失敗イメージが多くの人の中で共有されている。しかし、セキュリティの投資は、失敗イメージと成功イメージが共有されていないし、評価の軸も程度も定まっていない。なので、迷う。
③は「意思決定コストが割りにあわない」と言う話です。①から意思決定のために必要な判断情報を集めるためには相当のコストがかかるでしょう。②から投資効果がよく分からないということが分かります。つまり、「意思決定にコストがかかるのだが、意思決定をした結果が見えないので、意思決定をするコストがかけられない。」ということになります。
解決のためには、①判断材料を増やす、②投資効果を決める、ためのコストを社会的に下げる努力が必要だとおもいます。(=>経済産業省セキュリティガバナンス研究会に期待)
経営者は善良なる管理者の注意義務が課されているわけで、経営者としての常識に照らした正当な注意を払っていたことを証明する必要があるのですが、そのためには「ベンチマーキングなどを利用して、自分の会社に置き直して経営判断する。」というのもひとつの方法だと思います。
次に、投資した結果がどうだったかを判断する尺度をどうするか。可用性はまだ比較的簡単です。システム停止時間に対する機会損失をある程度の精度で計算できそうです。機密性と完全性が難しいです。漏えいは頻繁におこらないので目標値を考えるのは難しい。漏えいにつながる可能性がある行為(アクセス違反事例の数)などを指標として考えるのも一つの方法かもしれません。
いずれにせよ、厳密に測定することはできない前提に立ち、様々な情報をできるだけ収集して評価をする。(株主への説明責任がありますから一定の合理性は必要。)
しかし、経営資源は限られています。なるべく短い時間に効率良く意思決定していかなくてはなりません。そのためには、
1.投資額を決めてしまう(売上高の0.1%とか)
2.意思決定をする時間を決めてしまう(11月末までとか)
はじめは、こういう方法でよいと思います。その後、徐々に精度を上げていく。意思決定を繰り返すことにより、経験を積む。
何事も決断については、「最後は経営者の勘」です。経験をつむことにより勘の精度をあがります。
経営者は意思決定をする人です。だから、どの程度の投資をしたらよいのか分からない、という経営者は経営者失格です。
実は、経営者より下の層で迷っているような気もしていますが・・・
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
丸山 様
おはようございます。
> 何事も決断については、「最後は経営者の勘」です。
同感です。
自動車の運転を考えると,このご意見が正しいということをどなたにも理解していただけるのではないでしょうか?
企業の経営は,自動車の運転と似ていると思います。
自動車を上手に運転できるかどうかは,単なる訓練,勉強の積み重ねだけじゃどうにもならない部分があるし,自動車それ自体にどれだけお金をつぎ込んだのかによって決定されるわけでもないですよね。
その自動車を運転する目的は何か,自動車それ自体のメンテナンスを適切に実施しているか,ガソリンその他のリソース管理がきちんとできているか,行く先までの地図が頭に入っているか,良い運転の「センス」と「鋭い勘(読み)」を持っているかなどが重要です。とりわけ,具体的な運転の場面では,豊富な経験に裏づけされた「勘」のようなものによって運転がなされるわけで,その場その場でいちいちマニュアルをひいて勉強しているわけじゃない。
このように説明しても理解できない人は,相当に「勘」の悪い人なんでしょう。そのような人は,企業経営にも自動車運転にも向いていないのだろうと思います。
Posted by: 夏井高人 | 2005.03.13 at 07:27
夏井先生、コメントありがとうございます。
みなさんに誤解してほしくないのですが、何の努力もせずに勘だけで、情報セキュリティ投資を決め炉と言っているわけではありません。
他社事例を収集したり、専門家に意見を求めたり、投資効果の測定方法を考えてみたりすることは重要です。もし、株主に、「どうしてこの投資をしたのですか?」と聞かれた時に「こういう理由だからです。」と説明できなければなりません。人のお金を預かって運用しているわけですから当然です。
しかし、そういう努力をしても、最後はどうにもならない部分がある。そういう部分は自分の過去に他の決断した時の経験などもろもろのことを考えて決断するしかない。情報セキュリティ投資にはその部分が多いのだろうと思います。
「セキュリティ投資の適正額が分からないから投資ができない」といい、投資をしない経営者は、「投資をしないという決断をしている」ということを認識すべきだと思います。
その決断(投資をしないという決断)により、経営者は責任を問われます。
でも、経営者の方とお会いする機会もあるわけですが、分からないなりにも決断していると思うんですよね・・・
Posted by: 丸山満彦 | 2005.03.13 at 09:03
丸山 様
夏井です。
> 何の努力もせずに勘だけで、情報セキュリティ投資を決め炉と言っているわけではありません。
これもそのとおりですね。
正しい「勘」というものは,地道な勉強と訓練の積み重ねと十分な経験の蓄積の上に自然と現れてくるものなので,何となく誰にでも自然とわいてくるものではないと思います。
あとは,「どう生きるか」みたいな部分が左右することもありますね。
周囲の迷惑を一切気にせず,自分が獲得する私的利益の極大化や現在の地位を守ることだけを考えている経営者もいるかもしれない。そのような意図で経営者の地位にある者の「勘」が狂ってしまうのも当然のことでしょう。
日本ではあまり意識されないのかもしれませんが,publicという感覚が重要なのかもしれません。
日本では,publicを「公」と翻訳してしまっているので(おそらく,意図的にそのような訳がつくられたのだろうと想像します。),「お上」とか「役所」のことだと誤解されがちですが,少し違いますね。
publicの感覚を持っている経営者は,持っていない経営者よりも,ずっと感じの良い「勘」を働かせることができるでしょう。
また,丸山様もご指摘のとおり,経営の内容をよく知っていないと勘の働かせようもないですね。
これも自動車の運転と同じだと思います。
漫然と運転していても勘は働きますが,それはミクロのレベルでそうだというだけのことでマクロのレベルでは何もないのと同じだろうと思います。
Posted by: 夏井高人 | 2005.03.13 at 09:14
丸山様、吉田洋です。
企業の現場からすると、このあたりは重要な部分で、実際経営者は、Y社のような大規模漏洩のリスク対策には敏感です。しかし、数10~数100件規模の漏洩への対策は感度が低いし、お客の情報への対策は万全だが、周辺の取引先の個人情報や採用応募者、社員の情報への対策にはピンの来ないというのが実状のようです。
丸山さんのような方に、こういう周辺部(?)の個人情報についても、警鐘を打ち鳴らしていただかないといけないと感じる次第です。
Posted by: 吉田洋 | 2005.03.15 at 20:54
吉田様、コメントありがとうございます。社長は大きな投資などの決裁をしますね。それと同じく大きなリスクについての対策を決定します。小さなリスクについては、部課長のレベルで対応しなければなりません。おそらくそういう経営感覚をもった中間職の不在が問題ではないでしょうか?小さなリスクに対する経営者の目配りを嘆くよりも、そのような中間管理職を育てない経営者を嘆くべきかもしれません。経営者にばかり頼らずに、自ら考え、経営を行う中間管理職、つまり、次の経営者を育てることが重要かもしれませんね。言うは安し、行うは難しです。(=>自分)
Posted by: 丸山満彦 | 2005.03.16 at 22:05