取締役に“刺さる”報告をするための4つのアドバイス

　プロクター氏は10年前から、どうすれば効果的に取締役会にプレゼンできるかをリサーチし、そうした企業のセキュリティ担当者の相談に応じている。またプレゼン用スライド作成のためのツールキットも用意しているという。

　今回プロクター氏は、10年の経験から得たアドバイスを4つ紹介した。そして、ガートナーのツールキットを基に作成したサンプル用のスライドを事例として示しながら、そのアドバイスの具体例を指南した。プロクター氏が挙げたアドバイスは4つ。

　その1つ目は「不安、不確実性、迷いが価値を限定する」というもの。これは、セキュリティに対する不安や不確実性、迷いを役員に示し、恐れをあおっても、その先にさほど価値は生まれないことを言っている。

「私がこの活動を始めた10年前、私が見たプレゼンの70%は『脅威』の説明で構成されていた。恐怖を感じさせることで取締役会から予算を引き出そうとしたのだ」（プロクター氏）

　しかし現在、ほとんどの取締役は、セキュリティ・リスクがあること自体は分かっている。そのため、恐怖を感じさせるプレゼンは早い段階でよい結果を生まないことが分かり、流儀としては廃れていった。


　アドバイスの2つ目は「技術的な専門用語は使わない」だ。いうまでもなく、多くの取締役はテクノロジーを解さないからである。

　3つ目は、「この機会を利用して、取締役会との文化的な分断を解消する」ということ。この「文化的な分断」とは何か。たとえばIT部門以外の“非IT”な経営陣が、セキュリティ課題を“他人事”にしてしまい、技術が分かる人に丸投げしてしまう状況を指す。

「取締役会は、予算は確保するからあとは専門部隊に任せれば問題ないと考える。そして何か問題が発生すると、その専門部隊のミスということになる」（プロクター氏）

　この状況は、結果的にセキュリティへの投資判断を間違うことにつながる。優先順位を間違えたり、過剰投資や過少投資をしたりすることになる。そうならないために、役員陣にはセキュリティ・リスクへの対応がビジネスにどのような影響を及ぼすのか理解してもらう必要があるということだ。

　そこでアドバイスの4つ目につながるのだが、「セキュリティ／リスクを、取締役会が重視するビジネス・インパクトに結び付ける」ということになる。取締役の役割は、適切に投資し、その目的を達しているかを適宜監視することである。だからセキュリティ担当者は、彼らがその役割を果たすための材料を提供する必要がある。

「以前ある会社で、情報セキュリティに詳しい取締役を新たに採用した。その後、取締役会でセキュリティ担当者の報告が始まると、その人以外の取締役は全員スマートフォンをチェックし始めたということがあった。そういうことが起きてはいけない。今はすべての役員の注意を引くことが必要だ」（プロクター氏）

　そのためにセキュリティ担当者がしなくてはいけないことは、一つは彼らが日々どのような意思決定をしているのか理解すること。もう一つは、その意思決定を支援できる情報を揃え、提供することだ。

【次ページ】取締役会へのプレゼンテーションは3部構成