組織にリスク管理を導入するための、ステマ的手法：リスク管理導入はからめ手から

News Internationalの最高情報セキュリティ責任者アマール・シン氏に、リスクベースドアプローチの効果と、その予算策定時のメリットについて話を聞いた。

[Warwick Ashford，Computer Weekly]

　情報セキュリティにリスク管理の原則を適用することは難しい。しかし、その原因の多くは、業務部門の誤った認識にある。それが、News Internationalで最高情報セキュリティ責任者（CISO）を務めるアマール・サイ氏の意見だ。

　「リスク管理の話をするとき、業務部門の人間のほとんどは、スプレッドシート形式のリスク登録簿に何かリスクを記入することだと考える」とサイ氏は指摘する。

Computer Weekly日本語版　2013年6月26日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　2013年6月26日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　2013年6月26日号：CIOが語るロータスF1チームのIT戦略

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　サイ氏は現在、News Internationalに「ステマ的な手法で」リスク管理を導入することで、この誤った認識を乗り越えるべく奮闘している。

　サイ氏は、IT担当者だけでなく、営業部門のマネジャー全員とビジネスのあらゆる状況におけるリスクについて話をすることで、彼らが希望するリスク管理についての専門知識とサポートを提供している。

　「管理者を巻き込むことで、リスク管理フレームワークの概念を伝える機会が得られ、リスク管理を日常業務の一部に組み込めるようになる」とサイ氏は話す。

　この方法は、組織全体にリスク管理フレームワークを導入する大掛かりなプロジェクトを始めるよりも有効だとサイ氏は考えている。

　また、関係者にリスクと機会をセットにして考えてもらうようにすることも重要だとする。例えば、アプリケーションのリスク緩和と、セキュアなソフトウェア開発プロセスの導入機会とをセットで考える。

　サイ氏は、関係者全員にリスクと機会を意識してもらうことで、業務部門の人間との連携を深めている。

　「“機会”が語られるときは、（リスク管理に対する）理解も得られやすくなる。問題を特定するのが目的でなく、これから取り組むことは自分に関係のあることだと感じられるからだ」とサイ氏は指摘する。

　必要なフレームワークを提供するために、リスク管理のポリシーとプロセスの手引きを用意することは必要だが、それを起点にすべきではないと、サイ氏は言う。

　サイ氏によると、リスクベースドアプローチの主な利点の1つは、予算策定時に投資のビジネス上のメリットをアピールしやすくなることだ。

　「ソフトウェアのセキュリティ対策予算を引き出すことは難しい。だが、お粗末なソフトウェアセキュリティ対策のために、200万ポンドのツケを払うことになるリスクを緩和または取り除くためのテクノロジーであれば、予算を確保することは比較的簡単だ」とサイ氏。「リスクベースドアプローチならITセキュリティ担当者が、営業部門が理解しやすい言葉で、投資の必要性を明確に伝えることができる」

　現在、情報テクノロジーは、事業活動に含まれるほぼあらゆる業務を支えている。そのおかげで、社内の全員を巻き込み、支持を得る機会も得られるとサイ氏は話す。

　トップからの支持を取り付けることも不可欠だ。「CEOからの大号令があれば、CEO以下全員が耳を貸し、リスクベースで行動する可能性が大幅に高くなる」

　もう1つ重要なポイントは、サイ氏がNews Internationalで行っているように、重要業績評価指標を開発することだ。「これは、大規模プロジェクトの妥当性を示したり、セキュリティによって最終損益にどれだけの違いが出るかを、技術的な話を交えずに、具体的に説明する上で役立つ」（サイ氏）

　最終的な目標はリスクを管理することであり、スプレッドシートにリスクを記入することではない。サイ氏は、「包括的にリスクに対応できる適切なフレームワークを用意する必要がある」と話している。