KPMG のサイバーセキュリティ経営 (2) 情報システム部門が社長の疑問に答えるためには

…後藤信二 氏（仮名）は港区に本社を構える精密機器製造・販売企業のセキュリティ責任者だ。勤務先の従業員は8,000名、国内だけでなく海外にも多数の販売・生産拠点を持ち、東証に上場して以来黒字経営が続いている。

営業部門からローテーションで社内IT部門に配属になった後、技術にのめり込んで専門資格を取得するなど頭角を現し、その能力と素質を買われて早くからIT部門内のセキュリティ担当チームリーダーを任されてきた。

後藤氏は兼ねてよりセキュリティがIT部門内だけの課題では済まされないことをIT部門長を通じて経営陣にも投げかけており、その甲斐あって昨年IT部門から独立する形で新設されたセキュリティ部門の責任者に抜擢された。そんな順風満帆にキャリアを積み重ねてきた後藤氏だが、先日CEOである中村氏から経営会議直後に突然呼び出され、矢継ぎ早に質問を投げかけられた。

「当社のセキュリティリスクについて、今どう考えているんだ？」

「最新のサイバー攻撃動向は把握できているのか？」

「従業員のセキュリティ意識は高まっているのか？」

「まさかコンプライアンス違反なんかしてないだろうな？」

「そもそも当社のセキュリティ対策は十分と言えるのか？」

「いまインシデントが起きたら、ちゃんと対処できるのか？」

後藤氏は中村氏の勢いに押されて即答できず、少し時間をもらうことを乞い、早速セキュリティ部門のメンバーを集めてどのように報告するか検討することにした…