前置き

決裁権者（上司とか取引先とか）にセキュリティのお話をしようとした時、割と出てくる言葉があります。

「なくても仕事回るよ？」
「うちでやる必要ある？」
「メリットあるの？」

などなど。

セキュリティ分野に興味を持ち、自分で調べに動ける皆さんにとって、

「マジかこいつ…」
「またか…もうヤダ…」

となると思われる言葉です。

なぜか？

当然だと思っている「前提」について、相手が理解していないからです。

例えば「なくても仕事が回る」という意見について、リスクを知っている側としては、

「ブレーキがなくても車は走る」

と言っているように聞こえます。

たしかに走るけど、それは「まだ」事故を起こしていないだけ。
すぐに事故を起こすことが目に見えています。

そして、事故を起こせば事業は大打撃を受けます。

・信用の低下
・ブランドイメージの低下
・賠償金

小さな企業であれば、一度で倒産もありえます。

決裁権者が欲しいもの

こういった場合が厄介なのは、
「相手に前提の理解がない」こと。

理解してもらうためには
「相手の理解できる言語で話すこと」
が必要です。

では決裁権者の言語とは？

自社に関わる数字です。

決裁権者は管理者であるため、全体を俯瞰して調整します。
様々な専門分野を管理するからこそ、管理のためには共通で使える指標が必要です。

会社にとってどれだけ影響があるのかを示す指標。

一番理解してもらいやすいのが利益。
削減できるコスト、事故の発生する確率、防げる被害額。

専門でないからこそ、判断のためにそういった数字が欲しい。

「というか、明確な数字も出せない程度なら、対策する必要もないってことだよね？」

くらいに思っています。

「セキュリティって必要なの？」を叩き潰す

では、提案者はそれを説明すればいい。

しかし、ここで問題があります。

現状、リスクを可視化したデータは少ないのです。

古来から自社のセキュリティのためのリスクを可視化する手法は多々考えられてきており、また様々なツールが用意されています。
専門知識がなくとも、労力と資金を用意できれば外注もできます。
（Red Teamとか、診断とか）

それは自社のリスク。

説得するためには、
「自社に穴がどれだけあるか」と同時に、
「世の中で攻撃がどれだけあるか」が要求されます。

IPAなど多くの組織が、セキュリティレポートとして様々な情報を提供してくれています。
しかし、現状はそもそもそういった情報にたどり着くことが難しく、
「何を意味するのか」が伝わりきっていない状態です。

だからこそ、推測ではなくデータを元にした「世の中でのセキュリティリスクの現状」を改めて分析・公開する必要があると思い、このNoteを始めました。

今北産業

・セキュリティの必要性って伝えづらい
・決裁権者は「数値化されたリスク情報」が欲しい
・データをもとに「セキュリティリスクの現状」を解説するよ