経営層に対して担当者が「なぜこの投資が必要なのか」を説明することは極めて難しい。中でもセキュリティは最難関と言える。マネジメントで有名なピーター・ドラッカーの4つのコストに分類すると、セキュリティは費用対投資効果を定量的に算出しにくい「監視的コスト」や「補助的コスト」に分類されることが多いからだ(図1)。
セキュリティに対する投資は「その投資が効率的に行なわれているかどうか」という観点がとても重要になってくる。そこで今回は、経営層に対して、セキュリティ対策における投資が効率的に行われていることを説明する際のケーススタディーを2つ紹介する。
一つは「コストの効率化」。技術と価格の2つの側面を意識した説明の仕方を解説する。もう一つは「セキュリティ対策の最大公約数」。複数のプロジェクトにおいて共通化される部分を探り当てる。これによる無駄の削減や、インフラの全体最適について述べる。
技術面と価格面の2つの観点から
最初のケーススタディーとして、次に紹介する経営層とセキュリティ担当者のやり取りを見てほしい。
経営層:先日指示をしたように、無駄な投資を洗い出すため、聖域を設けずに投資の内容を精査してもらっている。情報漏洩で新聞記事になったX社と同じ轍は踏みたくないから、セキュリティ対策には投資をしているが、その内容に無駄はないかね?
セキュリティ担当者:対策の要件を洗い出したところ、無駄のないことが分かりました。当社の場合、A、Bの機能を持ったセキュリティ対策が必要であり、今導入している製品はこの要件を満たしています。
経営層:それにしてもこのライセンス料金はかなりの金額だな。もう少し費用を削減できないかね?
セキュリティ担当者:…(想定外の要求に回答できず黙っている)
一見すると、どこかで聞いたような、よくあるやり取りに見えるかもしれない。この担当者のように、セキュリティ対策に必要とされる要件を洗い出し、その要件を満たす製品に要する予算を申請して確保することは、基本中の基本である。
ただし、その製品が必要かどうかを判断するときに、価格も非常に重要な要素となることを忘れてはいけない。要件を満たす製品を検討する際には、技術面と価格面の2つの観点から説明できると、経営層に伝わりやすい。つまり、要件に対する技術的な可否とそれを実現する価格だ。
また、実現したい要件も、「実現が必須の要件」と「実現できればより望ましい要件」などレベルに差があるだろう。要件を決定する際には、「実現が必須の要件」である「基本要件」と、「実現できればより望ましい要件」である「加点要件」を設けるなど、要件にランクを付けるようにしたい。経営層に対してさらに伝わりやすくなるはずだ。
