セキュリティ機能は、事業戦略、目標、使命、目的と整合性が取られていなければいけません。セキュリティ機能はあくまで事業戦略の一つとして行うべきモノです。実装されるセキュリティ機能は事業戦略を達成するために必要なのかを常に問わなければなりません。極端に言えば、事業戦略を達成するためにセキュリティ機能を持たないということも時には選択します。これは、とてもCISSP的な考え方です。日本の企業では、セキュリティという言葉はとても強い力があります。お客様に提供しているサービスを何としてでも守る考え方は、個人的にも好きです。ただし、セキュリティをがちがちにしすぎて、もっと品質の良いサービスを提供できる機会を失っているかもしれません。さらにこのようなセキュリティがちがち対応による悪影響として、「事故があったらどう責任を取るのか?」といった、もしも起こった場合にどうするのかということを考える手間も大きくなっていきます。
一つの例として、新しいスマホアプリに生体認証を導入することを考えてみましょう。ある会社は、新しいスマホアプリを公開していますが、今後もより多くの人に使ってもらいたいと思っています。このとき、生体認証を導入していることでよりセキュリティ意識の高いサービスを提供していることをアピールするのか?それとも、大体今のスマホは、ロック画面解除するときにそもそも生体認証しているのだからスマホアプリの機能として実装することは必要ないと考えるのか?迷うでしょう。もしも、そのアプリが銀行や証券口座のように金銭に関わるサービスであれば、セキュリティ意識を訴えることでの効果が期待できます。一方で、SNSのようなほとんどの人が匿名で不特定多数が利用するアプリでは、生体認証が利用できないユーザーが逃げてしまうことを懸念するでしょう。組織の事業戦略に照らして、持つべきセキュリティ機能は変わっていきます。
組織の意思決定の整合性を得るために、ガバナンスとマネジメントという2段階の意思決定構造が作られます。ガバナンスとは、CEO、CIO、CSOといった会社の社会的責任をもつ役職が果たす統治体制です。製品を買って頂けるお客様、株主といった利害関係者のニーズを評価して、信頼を維持するための管理体制のことです。マネジメントとは、ガバナンスで維持された体制の中で、ビジネスの目標を達成するための管理です。もしあなたが、情報セキュリティ専門家になった際には、マネジメントを行う一員として働くことになります。