経営課題としての IT セキュリティ(上)

「IT」と「IT セキュリティ」は、切っても切れない関係です。企業でも家庭でも。

このブログをお読みの皆さんの勤務先では、「IT セキュリティ」の担当部署はどちらでしょうか。
「IT」と同じく、いわゆる「情報システム部」が担当されているケースが多いではないでしょうか。

では、「IT セキュリティ」は「IT」という概念の中に含まれる小テーマなのでしょうか。

私はそうは思いません。
少なくとも、「経営課題としての IT セキュリティ」については、完全に異なる分野だという認識です。

 

IT は便利なものです。まさに文明の利器です。

しかし、便利な道具には常に相応のリスクが付きまといます。
「便利さ」と「リスク」もまた、切っても切れない関係です。企業でも家庭でも。

 


そもそも、なぜ IT セキュリティをしっかりやらねばいけないのかと言うと、情報漏洩等のリスクがあるからです。

ですが、そもそもリスクなんてものはそこら中にあります。

家庭において、料理のために火を使えば、 同時に火災のリスクが発生します。

もちろん、正しい知識を以って器具を適切に扱うことで殆どの火災は防げるはずですが、そのためには「正しい知識の無い者には器具を扱わせない」等の管理(マネジメント)が必要です。

当たり前過ぎて特に意識されていないと思いますが、大部分の家庭ではこういった管理がきちんとなされているはずです。

 

企業においても同様です。

経理担当者が会社のお金を横領するリスクだとか、外回りの営業マンが社用車で交通事故を起こすリスクだとか、数え出したらキリがありません。

IT に関わるリスクも決して特別なモノではなく、「あらゆる業務に常に付きまとうリスク」の一種に過ぎません。


そして、あらゆるリスクに対して万全の備えを取ることは、おそらく不可能です。

そもそも全てのリスクを洗い出すことなどできません。
常に、まだ誰も気づいていない(気にしていない)未知のリスクが潜んでいる可能性があります。

そして、既知のリスクであっても「取り得る対策」には限度があります。

例として、「資金繰りがショートするリスク」について考えてみましょう。
「風評被害で売り上げが激減」といった場合に起こり得ることです。

そんな場合に備える策の一つとして、「現金預金を潤沢に持っておく」ことが挙げられます。

経営に関する本などには、よく「現金預金は、売り上げ三ヶ月分あるといい」みたいなことが書いてあります。

それだけあれば、ある月から突然売り上げゼロになっても、三ヶ月間は従業員に給料を支払えます。
その間に対策を練ることができます。
つまり時間稼ぎができるので、「そのような事態に陥っても、三ヶ月間は安心」です。

もちろん、「何ヶ月分あれば十分なのか」なんてことは、誰にも決められません。
強いて言えば「あればあるだけ安心」なのですが、それを言い出したら際限がなくなってしまいますし、なにより非現実的です。
零細企業だと、実際には三ヶ月どころか一ヶ月分だって難しいところも少なくないでしょう。

現金預金を少しでも多く貯える努力と工夫は常に必要ですが、どこかで折り合いをつけなくてはいけません。

「十分」ではないだろうし、「安心」できるとも限らないけれども、「納得できるレベル」は決めておく必要があります。
「本当はもっとないと安心できないけど、今できる最善策はこの程度なので、ひとまず納得しておこう」というレベルです。
そのレベルが決まっていないと、現状の現金預金額に対して、「今以上に増やすことを、優先的な経営課題とすべきかどうか」を判断できないからです。

そして、「納得できるレベル」を算出するためには、
・そのような事態が、実際に発現する確率
・発現した場合の影響や損害規模(損害額)
・発現を回避するためや、確率を下げるためにかかるコスト
といった様々な要素を総合的・複合的に考える必要があります。

なお、ここでいう「納得」とは、「経営に責任を負う者(=経営者)」が納得することを指します。

なので、「納得できるレベル」を決めることができるのは、他の誰でもなく経営者自身です。
決して、他人任せにはできません。
「実際に資金繰りがショートして会社が潰れた場合にその責任を負う者」にしか、決めることはできません。

つづく