セキュリティ対策予算の獲得のために「根回し」活用していますか?

セキュリティ対策予算の獲得のために「根回し」活用していますか?

サイバー犯罪が激化する世の中になりつつあります。企業ではその規模にかかわらず、さらに家庭用PCでさえもサイバー攻撃の対象になっています。しかし、企業の経営層のセキュリティ対策への理解がなかなか深まらないために、セキュリティ対策を施すための予算を通すことができないと悩んでいる情報システムの担当の方も多いのではないでしょうか?

今回は、予算を獲得するために必要なロジックを3点紹介します。

一般的なセキュリティ対策予算獲得の方法論は豊富

一般的に論じられているセキュリティ対策予算の獲得方法は、たくさん存在します。たとえば、経営層や決裁者にセキュリティ対策を認識してもらうための「リスク分析」・「リスクシナリオ作成」・「リスク対策した場合の費用対効果」・「漏えい発生時の損失額 + その防止コスト」、「インシデント発生確率 × 影響度」などが挙げられます。これら手法はネット上に多数存在しており、あまり珍しいものでもありません。おそらく、読者の皆様もこれらのいずれかの手法を提案書にまとめ、予算を申請した経験があるのではないでしょうか。しかし、これだけ説明・説得の方法があるにもかかわらず、今もなおセキュリティ対策の予算が通り難いのはなぜなのでしょうか?

なぜセキュリティ対策予算は通らないのか?

ここでは予算が通らない、または削減される理由を経営層の視点から考えて見ましょう。経営層が最優先に考えるのは何でしょうか?それは企業の成長です。極端な話ですが、企業が成長する施策であれば何でもやりたいと思うのが経営層です。もし、成長を促進させる施策とセキュリティ強化の話があったら、優先的に予算が振り分けられるのは成長を促進させる施策であることは想像に難くありません。経営層は、情報を守ることの重要性を十分に認識していても、セキュリティ対策への意識は低くなる傾向があります。

このような経営層に対して、上記でご紹介したような予算獲得のための説得の方法によって予算の獲得に成功する場合もあると思います。しかし、いくら数字とロジックで説明しても十分な理解と了承を行わない経営者も多数存在します。なぜ、十分な数字とロジックで説明しても予算が通らないのでしょうか?多くの場合、申請者が経営層の最大の関心事・考え方・判断基準を見誤っています。経営層の関心や考え方とズレてしまっては、数字とロジックに説得力があっても経営層が予算を承認してくれる可能性は低くなります。次に示すのは経営層を理解するための基本です。

経営層を理解することで予算化までの道筋が見える

もし、あなたが「経営層は何に関心があるのか?判断基準はどこにあるのか?どのような考え方をするのか?」などを知らずにセキュリティ対策予算を提案していたとすれば、説得するにはあまりに非効率的と言わざるを得ません。一度経営者や上司と目線をそろえ、どのような説明ロジックが適しているのか、提案前後にどのような行動をすべきかを考えてみてはいかがでしょうか?

経営層の考えを理解することで、予算化までの道筋が見えてくるはずです。

経営層への「根回し」は基本

「根回しをしよう」と言うと「なんだそんなことか」とガッカリしてしまうかもしれませんが、意味のある根回しには、日頃の経営層とのコミュニケーションから有益な情報を引き出す努力が必要です。常に経営層のビジネス戦略や考え方にアンテナを張り、かゆいところに手が届くような提案・発言を日頃からすることで、あなたに耳を傾けてくれるようになりますし、セキュリティ対策予算を通すために何が足りないのかが見えてきます。様々な場での会話によって本音を引き出し、良い提案につなげることはビジネスマンとしても身に着けておきたいスキルです。

数字とロジックでリスクと投資対効果を示すことはどの会社でも必要なことですが、それだけで予算が獲得できないのは、この「根回し」が不足しているからではないでしょうか?

予算を通すための4つのヒント

ここからはもう少しセキュリティ対策予算獲得のための具体的な方法を述べていきます。
実際に予算を申請する際の参考にしてみてください。

IT投資のタイミングでセキュリティ対策を提案する

経営層は、売上利益を拡大するための投資には耳を傾ける傾向があります。売上利益を拡大するためのシステム投資があるタイミング を狙い(もしくはこちら提案して)、セキュリティ対策の提案をする方法は有益です。リスクを下げながらも売上利益を守る必要性を説くことで、十分なセキュリティ対策のチャンスが広がります。

セキュリティ対策のみの予算化ではなく、内部続制の視点で提案する

セキュリティ・インシデントは日常業務のなかで発生するため、業務を遂行するときのリスクとして考えるべきです。よって、セキュリティ対策の視点だけで予算化するのはなくリスクマネジメントや内部統制や業務効率という視点で予算化することが有効です。

経営層と近い人間と一緒に提案する

経営層とコミュニケーションを取るべきと上記で記述しましたが、コミュニケーションを取りたくとも経営層とそこまで深く話せる間柄ではないというケースも多くあるでしょう。そのような場合は、経営層と近い人物を味方につけましょう。例えば、経営企画部門や社長室など経営陣に近い人と一緒に提案することで予算化しやすくなります。提案が「誰が提案するのか」に影響を受けるのは日頃のビジネスの世界ではよくあることです。影響力のある人物を味方につけることができれば予算化は一気に近づきます。

同業他社など過去に予算を通した話を聞く

同じような課題を持っている人は、どの業界でもいるものです。社内のシステムを管理している人同士が集まり情報収集や意見交換をしたりする団体の会員になって、課題をどのように解決したのか聞いてみてはいかがでしょうか。きっと新しいヒントが見つかるはずです。例えば、PCNW(PC・ネットワークの管理・活用を考える会)では実際に担当している情報システム管理者の事例を聞くことができたり、他社の管理者の悩みや課題を共有したりすることができるため、自社の課題解決の糸口を見つけことができます

まとめ

経営層にセキュリティ対策のための予算を申請しやすくするため、4つのヒントを紹介しました。このようなアドバイスでありがちなのは、数字とロジックで説得力を上げるという手法ですが、セキュリティの重要性はわかっていてもビジネス拡大の方が優先順位が高い経営層に対してはなかなか説得は難しいでしょう。そこで、反対に経営層の視点で説得内容を考えてみることをご提案しました。経営層の方針やビジネス戦略に沿って提案すれば、経営層にとってもわかりやすく納得のしやすい内容を提案できると思います。

「“働き方改革”セキュリティガイドBOOK」
ダウンロードはこちらから