CISO（最高情報セキュリティ責任者）が経営者と専門家のギャップを埋める

（1）専門用語

　情報セキュリティを語るうえで、専門用語の問題は大きな課題の1つである。高橋氏は、「専門性の高い人ほど正確な用語を使おうとしてしまい、専門外の人には伝わりづらくなる」と指摘する。

　例えば脆弱性に問題がある場合、専門家は「ソフトウェアに脆弱性があり、深刻です」などと表現する。だが、これは「ストーキング行為に使われる可能性がある」「システムが止まり、売り上げが立たなくなるかもしれない」といった表現に代えて伝えることが重要になる。

（2）財務諸表

　情報セキュリティに関する資産を「財務諸表上でも見ていくことが大事だ」と髙橋氏は話す（図1）。従来の情報セキュリティは、「情報資産としてのITの特別損失をいかに最小化するかというITセキュリティリスクの文脈で語られてきた。だがITが事業基盤になりつつある今、売上高や利益への貢献・影響など、成功要因としてセキュリティを位置付ける視点が必要になる」（同）とする。

図1：財務諸表上で情報セキュリティの資産価値を判断する

　その際に活用できるのが「バランスト・スコア・カード（BSC）」だという。（1）財務、（2）顧客、（3）内部、（4）学習と成長の4つの視点から、情報セキュリティの関わるリスクをマッピングし情報セキュリティを考える。

　例えば、顧客の視点では付加価値としてのセキュリティというアプローチが、内部の視点ではセキュリティ対策の自動化やテンプレート化が、学習と成長の視点からマチュリティレベルの向上が、それぞれ考えられる。「これらの視点を持ち込むことで、事業軸での情報セキュリティを考えられる」と髙橋氏は強調する。

（3）情報セキュリティマネジメント

　情報セキュリティマネジメントでは、要求事項と規範、リスク・脅威、評価とモニタリングの視点が強調される。だが、重要なのは「事業・経営の視点を加えて検証することだ」と高橋氏は話す（図2）。加えて、レイヤーに別けて計測対象を考えること必要があるともいう。「管理者や従業員など、それぞれの立ち位置によって関心の対象が異なる」（同）からだ。

図2：情報セキュリティマネジメントのためのチェックリストと構造化アプローチ

　プロスポーツに例えれば、選手の関心事は自身の成績としての得点やアシスト、打率などにある。監督の視点では、シーズンのチームの成績や選手の評価などが関心の対象になる。チームオーナーの視点からは、チームの存続価値や収益の向上などが重要なテーマであり、経営計画や投資計画などが関心の主体になる。高橋氏は、「情報セキュリティに限らないが、どの視点で物事をとらえるのか明確にすることで活動がしやすくなる」と提言する。