セキュリティ対策を推進する経営幹部を設ければ済む話である。だが、同時に組織全体を見直す必要があることを忘れてはいけない。長谷川氏はセキュリティ対策の実施順序として、最初に「セキュリティ監視と不正通信の洗い出し」を行い、次に「インシデントを前提とした組織体制の構築と、社員の意識改革および教育」を実施。そして「インシデント対策チームの組織化」や「サイバー攻撃発生を見越した演習」という例を挙げている。このように会社全体の管理体制の変更を伴うため、セキュリティ対策は単なる専任者ではなく経営層の判断が必要になる。
他方でセキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実だ。そのためセキュリティ対策は「力のいれどころと抜きどころが重要」と、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏は語る。経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示しなければならない。
セキュリティ対策の現場は目的に応じた対策を行うと同時に、ログなどを視覚的にまとめたレポートを経営層へ報告する一定の仕組みを作り出す必要がある。経営層はレポートをもとに意図したセキュリティ対策が講じられているか、さらなる改善が必要なのか判断すればよい。