最近のサイバー攻撃はますます狡猾になってきている。例えば攻撃者が身元を隠ぺいするために、自社が踏み台にされるようなケースも目立つようになってきた。このことはセキュリティ対策が自社だけの問題ではなくなってきていることを示している。単に自社のみの問題であれば、「重要な情報などウチにはない」「ハッキングされても困ることはない」と言っていられるものの、他社や世間に迷惑をかけてしまう可能性がある以上、ITのセキュリティ対策はCSR(企業の社会的責任)の一環として社会的な責任の範疇(はんちゅう)に入ってきていると言っても過言ではないだろう。
こういった状況下において、セキュリティ対策に「投資するのか」あるいは「投資しないのか」という意思決定は極めて悩ましく、慎重を期す必要がある。経営層がこの意思決定を下すためには、そのための材料が必要となるが、あなたがやみくもに「危険です」と言ったところで十分ではない。あなたが経営層に対して一種の“社内営業”を行い、投資の決断をしてもらうことが重要になる。
あなたがこのミッションを成功させるには次の2つが鍵となる。一つは「購買意思決定プロセスに従った提案」、もう一つは「経営層に見えるリスク分析」である(図1)。この2つの鍵を実践することで、経営層に対して効果的な意思決定材料を提供できるのだ。今回はセキュリティ対策への投資における意思決定に注目して、前者の「購買意思決定プロセスに従った提案」について解説する。後者の「経営層に見えるリスク分析」の解説は次回以降に譲る。
購買プロセスの5段階モデル
まずは投資する側がどういうプロセスを経て購買に至るのかを考える必要がある。ここではベースとなるプロセスモデルとして、フィリップ・コトラーの提唱による「購買プロセスの5段階モデル」を紹介する。これはBtoC、BtoBに関わらず、ある程度汎用的に利用できるプロセスモデルである。以下では「このプロセスモデルはどういったものか」「このプロセスモデルの各フェーズで何をやるのか」について解説する。
