“技術の話”はNG？　CISOが経営層にセキュリティの重要性を納得させる方法とは

要約

　情報セキュリティの重要性からCISO（最高情報セキュリティ責任者）を設置する企業が増える一方で、取締役会との連携という新たな課題が浮上している。技術的な知識やセキュリティ用語を知らない経営層に、セキュリティのメリットやリスクを正しく理解してもらうには、CISOが技術者のみならずビジネスリーダーとしての能力を発揮する必要がある。

　ポイントとなるのは、専門用語を避けるのはもちろん、経営層になじみ深いビジネス用語を活用する上で、情報セキュリティのプロジェクトをビジネスの目標と関連させることだ。そこでテーマとすべきが「リスク」「従業員の生産性」「コスト」「収益」「戦略的価値」「顧客満足」の6つの分野だ。

　本資料では、これらのテーマを通じて、経営層から承認と支援を得るための説得のポイントを解説する。さらに、企業としてのセキュリティ文化の醸成や情報セキュリティの失敗事例の共有など、難しいテーマながら経営層と共有すべき情報もある。本資料を参考に経営層の文脈でセキュリティの意義を伝える方法を習得し、セキュリティとビジネス間のギャップを埋めるリーダーとなってほしい。