【Cyber-sec+】経営層を"動かす"ための考え方

Transcript

1. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. Cyber-sec+ Meetup #9

   経営層を動かすための考え方 2026/06/18(木) 株式会社じげん 日比野 恒

2. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. 自己紹介 2 日比野

   恒 - Hisashi Hibino ZIGExN Co., Ltd. Senior Security Architect CISSP, CCSP, CySA+, CISA, PMP, 情報処理安全確保支援士（000999） [略歴] • 2018 年 まで 10 年間 IT コンサルティング会社に在籍 • 2019 年 より 5 年間、大手 Web 企業のセキュリティ組織に所属 SIEM/ログ基盤やクラウドセキュリティに関する案件に従事 • 現在は株式会社じげんの開発ユニット所属のセキュリティアーキテクト [著書] ➢ Elastic Stack 実践ガイド [Logstash/Beats 編]（インプレス刊） ➢ AWS 継続的セキュリティ実践ガイド（翔泳社刊） [その他] ➢ ちょーどいいセキュリティよもやま（ポッドキャスト）

3. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. ⚫ 賃貸 スモッカ

   賃貸ポータルメディア https://smocca.jp/ ⚫ 不動産査定 イエイ 不動産売却査定サービス https://sell.yeay.jp/ ⚫ 海外不動産 セカイプロパティ 海外不動産エージェント https://ja.sekaiproperty.com/ ⚫ リフォーム リショップナビ リフォーム会社マッチングサービス https://rehome-navi.com/ ⚫ エネルギー enepi 電気・ガス料金比較サービス https://enepi.jp/ ⚫ 保険 保険マンモス 保険情報メディア・保険相談サービス事業 https://hoken-mammoth.com/ ⚫ 買取 ヒカカク！ 買取比較サイト https://hikakaku.com/ ⚫ フランチャイズ フランチャイズ比較.net フランチャイズ比較メディア https://www.fc-hikaku.net/ ⚫ システム ブレインラボ 人材派遣管理システム開発 https://www.brainlab.co.jp/ ⚫ 自動車 TCV 中古車輸出ポータルメディア https://biz.tc-v.com/ ⚫ 旅行 アップルワールド TRAVELIST TSD (リキシャ) 旅行会社向けホテル手配システム 総合旅行EC 旅行会社向けホテル手配システム https://appleworld.com/agt/ https://travelist.jp/ https://www.rikisha-easyrez.jp/ ⚫ 美容/ヘルスケア リジョブ 美容/ヘルスケア業界特化型求人メディア https://relax-job.com/ ⚫ 製造 タイズ 製造業界特化型人材紹介 https://www.ee-ties.com/ ⚫ コンサルティング URG コンサルティング業界特化型RPO https://urgroup.co.jp/ ⚫ 建設 建設JOBs 建設業界特化型人材紹介 https://kensetsu-jobs.struct-inc.co.jp/ ⚫ 不動産 リアルエステートWORKS 不動産業界特化型人材紹介 https://realestateworks.jp/ ⚫ 物流 オーサムエージェント 運送業界特化型求人メディア https://awesomegroup.co.jp/ ⚫ 薬局 エニーキャリア 薬剤師特化人材紹介 https://anycareer.co.jp/ ⚫ リゾートバイト アルファスタッフ リゾート領域特化人材派遣 https://alpha-staff.jp/ 当社の主要サービス 人材領域における 特定領域特化型の 主力事業から構成 Vertical HR 人材領域以外の不 動産・電気ガス・ 保険・自動車・旅 行など人々の生活 を支える事業から 構成 Life Service 8 サービス 35 サービス 3

4. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. 半期ごとのセキュリティ活動を公開 4 守

   りを価 値に 変 え る “ ” “ ” じ げ ん 流 ・ リ ス ク ベ ー ス ア プ ロ ー チ の 実 践 （ 2025/11 ） “守り”を“価値”に変える じげん流・リスクベースアプローチの実践（2025/11） 守 りを 仕 組 み に 変 え る “ ” ロ グ と AI で 挑 む 、 じ げ ん の セ キ ュ リ テ ィ 運 用 （ 2026/06 ） “守り”を仕組みに変える ログとAIで挑む、じげんのセキュリティ運用（2026/06）

5. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. 本日の LT で伝えたいこと

   5 当社の「セキュリティ中期計画」を経営層に発表した経験を、 良かった点・改善点に分けて率直に振り返ります。 テーマ 経営層向けのセキュリティ中期計画の説明 拠り所にした考え方 書籍『経営層にセキュリティを理解させる技術』 自己採点 80 点 数字でビジネスインパクトを語れた一方で、 「成長への貢献」と「いま必要な理由」の訴求が課題として残った。

6. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. 良かった点 経営層の意思決定を引き出すために機能した3つの工夫 ①

   ビジネス視点の被害額 ② 数字での表現 ③ 松竹梅プラン 6

7. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. ① 技術リスクの 羅列にしなかった

   経営に響く言葉に翻訳 脆弱性や攻撃手法の羅列ではなく、事業がどれだけ痛むかという観点で被害を提示した サービス別に売上減少を試算 ランサムウェア攻撃を受けた場合の売上減少額を、グループ会社を含むサービスごとに 試算して経営層へ提示した 「自分ごと」として伝わる 金額という共通言語に落とし込むことで、経営層がリスクを自分の意思決定対象として 捉えられた 技術ではなく「ビジネスの被害額」で語った 7

8. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. ② 感覚ではなく 定量で示した

   リスクベースアプローチを採用 一律のベースラインではなく、リスクの大きさに応じて優先度を付け、適切なコスト試算 を行った 被害額を「停止時間 × 復旧コスト」で算定 ランサムウェア被害を、想定されるシステム停止時間と復旧にかかるコストから金額として 提示した 投資判断ができる土台に リスク・コスト・ビジネス価値をすべて数字で並べ、費用対効果で語れる状態をつくった リスク・コスト・価値を「数字」で表現 8

9. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. ③ 決めるのは 経営層に委ねた

   対策プランを複数案で提示 どこまでコストをかけ、被害をどの程度まで抑えられる可能性があるのかを、松・竹・梅 の複数プランで示した 意思決定を引き出す設計 「やる/やらない」ではなく「どれを選ぶか」の問いに変え、経営層が主体的に判断できる 形で提示した 梅 最小コスト 守る範囲を絞る 竹 標準 費用対効果のバランス 松 手厚い対策 被害を最小化 「松竹梅」で選択肢を渡した 9

10. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. 改善点・反省点 「危機感」は伝わった。足りなかったのは「未来」と「緊急性」 ①

    成功する未来像を示す ② なぜ「いま」なのか（緊急性） 10

11. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. ① 「成長への貢献」 が描けていなかった

    リスク対策の話に終始してしまった 「やらないとこうなる」という危機感は示せたが、セキュリティ対策が企業の成長に どう繋がるのかという前向きな視点が足りなかった AI/AX 推進の「土台」として語るべきだった 成長のために AI・DX を進めるほど、一定水準のセキュリティが無ければ、 情報漏洩やシステム破壊を誘発し、成長どころではなくなる ― この文脈で語るべきだった 危機感だけでなく「成功する未来像」を 11

12. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. ② 重要性は伝えた 緊急性が弱かった

    「重要」ではなく「緊急」の説明が不足 なぜその対策がいま必要なのか 重要性は伝わったが、いま動くべき理由（緊急性）の訴求が弱かった 自社を取り巻くデータが足りていなかった 同業他社の被害事例や動向、自社がいまどれだけ攻撃を受けているのかといった 「足元のデータ」を提示できなかった 大型インシデント事例の共有はできていた KADOKAWA・アサヒグループ・アスクル等の大規模ランサムウェア被害事例は 共有できていた（あと一歩、自社事情に接続したい） 「なぜ“いま”なのか」を語りきれなかった 12

13. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. 経営層を動かすための考え方 技術ではなくビジネスの言葉で語る リスクを金額・事業インパクトに翻訳して経営層に届ける考え方（良かった点

    ①②） 意思決定を引き出す見せ方 選択肢（松竹梅）を渡し、経営層自身に判断してもらう設計の重要性（良かった点 ③） 危機感だけでは人は動かない 「恐怖」に加えて、成功する未来像と緊急性を示す必要がある（今回の改善点の気づき） 振り返りの拠り所にした書籍 13 出展: 経営層にセキュリティを理解させる技術（伊藤和也著）

14. Copyright(C) ZIGExN Co., Ltd. All Rights Reserved. 数字で語り、選択肢を提示する。 そこに未来と緊急性を加味する。 良かった点

    ビジネス被害 × 数字 × 松竹梅プランで、経営層の意思決定 をある程度までは引き出せた（リスク度合いによる優先順位） 改善点 成長への貢献（未来像）と、いま動くべき理由（緊急性）を ログなどのファクトデータ（どれだけ狙われているか）で補強する 株式会社じげんでは、事業成長を支えるセキュリティ人材を募集しています。 ご興味のある方は、ぜひお声がけください！！ ご清聴ありがとうございました。 まとめ 14