往々にして、セキュリティは担当レベルの問題と考えられますが、セキュリティ事件・事故の報道を見ると、企業の問題であり経営の問題であることは明らかです。しかし、セキュリティは専門性の高い分野であり、経営の立場で把握し検証することが難しい領域でもあります。セキュリティ対策は、起きるかもしれない、望ましくない事態を未然に防ぐ施策で、残念ながら攻撃を受ける企業が主導権を持つことはありません。たとえば、「⁠今期は高度な攻撃を3回以上撃退する」という目標は成り立ちません。いつ来るとも知れない、特定ができない相手からの、予測のできない攻撃への準備と対応であり、売上、利益率、ROIなどの一般的な経営指標で計測することは困難です。セキュリティがわかりにくいのは、この点も背景にあると思います。

一方で、経営者とセキュリティについて議論をすると、セキュリティに対する理解の深さや視点の的確さに驚くことがあります。経営はそもそもリスクと向き合う行為であり、経営という不確定なものを扱う経営者は、本質的にセキュリティ視点を内包しているのかもしれません。

事業計画では、不確実な未来を扱うために財務的な目標を設定し、仮説やシナリオを立て、計画を具体化し検証します。経営者にとっては、具体的な仮説やシナリオがあれば、セキュリティも把握と検証ができるのではないでしょうか。セキュリティ担当者、特に経営陣の一員として活躍するCISOは経営者をどのように見ているのでしょうか。経営者はセキュリティがわからないと考えているでしょうか。セキュリティ専門家には「⁠（⁠正しい）セキュリティ対策を理解できない相手が間違っている」という考えが潜んでいるように思います。国際的な規準や、画期的なソリューションも重要ですが、セキュリティ対策は、事業や経営計画を理解することから始めるべきだと思います。

本書では、セキュリティ事件・事故のシナリオに基づいた机上演習フレームワークをCISO-PRACTSIE と呼称し、経営者がセキュリティの文脈を理解し、CISOを始めとしたセキュリティ担当者が、経営視点や事業視点を身につける機会として事件・事故を想定し、そこから逆算して対策の検証を行う手法を提案します。起きるか起きないかわからない問題を自分事にすることは困難ですが、具体的な問題に落とし込むことで、格段に取り組みやすい問題になります。机上演習には、コストも時間もかかりません。まずは、簡単なシナリオを用意して、CISOPRACTSIEを実施してみてください。セキュリティ対策を俯瞰的にとらえるとともに、施策の良し悪しが見えてくるはずです。