サイバー攻撃､｢恐い｣で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには

この作業を通じて、セキュリティと事業の双方の視点から、システムへの依存度、事件・事故の影響の大きさ、対策の必要性、責任の所在を精査する。一連の作業で、専門領域が異なる多様な関係者が具体的な議論をできるようになるというわけだ。

「事業リスク」の評価は、シナリオに対して想定される「代表的な事象」に対して、「代表的な評価軸」の観点から事象の影響度・深刻度を評価する。

さらに多様な「関係者の役割」をRACI（Responsible〈実行責任者〉、Accountable〈説明責任者〉、Consulted〈協業先・相談先〉、Informed〈報告先〉）に基づいて明らかにしていく。

事象の影響度・深刻度と関係者の役割が明らかになれば、問題を深掘りしていくことができる。

例えば、システムを止める判断は誰が行うのか（誰に責任があるのか）、その判断のために必要な情報は何か。その情報は用意できるのか、用意ができないとすればどのような対応が必要か。事件・事故の公表をどうするか、被害者への保証は必要かなどといったように。

段階的に作業を進めることで、価値観・業務・距離の近い部署から、ファクト・視点・価値観を横断的に共有するのがポイントだ。

①セキュリティ関係者で論点と課題を明らかにする、②情シス・運用部門と論点と課題の確認をする、③法務・広報などの専門家の考えを確認する、④事業部門と議論の基盤を構築する、⑤経営陣の考えを確認し議論の基盤を構築するといった具合だ。