「五つの問いかけ」に応じた、経営判断上での前提
経営者として、さまざまな選択を行っていく中で具体的な施策の実施判断をする上での優先順位は「事業継続性」に基づいて決定されるべきでしょう。
企業でいう目先の売上や、利益の追求を意味するわけではなく、事業環境の変化を予測して、持続的な事業運営を行なうためのさまざまな活動を意味します。
中には、事業継続に甚大な影響を及ぼすことが想定されるリスクへの対処があります。
どんなに良好なビジネスを展開していても、不適切な会計処理、違法な労務管理などの法令違反を起こしてしまっては、事業運営に甚大な影響を及ぼします。
犯罪被害を受ける恐れや、自然災害への対応を考慮する必要もあります。
一方で、リスク対応を優先しすぎて事業展開そのものが非効率になったり、新しいビジネス展開ができなくなるのでは、やはり事業継続性に影響が出てしまいます。
経営にとってのリスク対応とは、事業継続に必要な経営資源は何で、どのようなリスクが発生するのか、発生した場合にはどのような影響があるのかを予測しつつ、場合によっては許容可能な範囲でリスクを受容しながら事業運営を行なうことです。
情報セキュリティは経営リスク
経営リスクに対処するにあたってはさまざまな対処レベルがありえます。
例 ECサイトで製品の販売を行なっている企業でのケース
ECサイトに対する侵入事件が後を絶たちません。
このため、大きなセキュリティリスクと判断されました。
- 閉鎖してしまうと、事業そのものを失ってしまうことになる。
- ECサイトは重要な顧客情報が扱われているため、サイト内に重大な脆弱性が発見された場合、サイトの運営を継続すべきか否かの判断が求められる。
- 1日閉鎖すれば売上も1日分下がる。
- 重要な顧客情報が盗まれた場合、事業運営そのものに重大な影響を与える。
- 信用の失墜、顧客に対する損害の発生、会社自体倒産してしまう可能性も考えうる。
それではどう対処するべきでしょうか?
- 脆弱性を突く攻撃が行なわれていないかどうかECサイトへのアクセスを監視。
- ECサイトの運営は継続。その間、脆弱性を無くす抜本的対策を打つ、あるいは、仮に攻撃が検出された場合はサイトを閉鎖する。
等
しかし、このECサイトに対する外部アクセスの監視を行なえる体制や設備が導入されていなければ、サイトの監視や閉鎖などの対処はできません。
ただし、体制や設備を導入するにはコストが掛かります。
ECサイトでの売上、利益とこのようなコストのバランスをどのように考え、どのような体制や設備投資を行なっておくのかという「事業継続性」に基づく経営判断が求められているのです。
経営判断を行なっていくにしても、経営者が細かな脆弱性や技術対策に関する知識をもつことは難しいでしょう。
情報セキュリティに詳しい部下や專門家の意見を聞き、リスクを判断し、対策を決断、実行する必要があるのです。
ある程度の企業になれば財務、経理、社内情報システムなどの運営を行なう担当者と組織が準備されているでしょう。
現在では情報セキュリティに対する專門家と組織の準備が求められていると言えます。