企業におけるセキュリティ対策は、予算との戦いでもある。「与えられた予算の中でうまくやる」ことも大切だが、何より大事なのは「予算を確保する」ことだ。予算がなければ何もできない。
ただ現実には、セキュリティ担当者が経営層に現在のサイバーセキュリティリスクを説明しても、なかなか予算をくれないといった悩みの声をよく聞く。その場合、セキュリティ対策の予算をとるための経営層とのコミュニケーションは一種の“営業”と考えたい。今回もケーススタディーを通じて経営層との会話のポイントを解説する。
「本当に1000万円も必要か」
最初のケーススタディーは予算の額を巡る経営層とセキュリティ担当者の会話である。
経営層:今年のセキュリティ対策予算は昨年よりも増やしておいた。高まるサイバーセキュリティの脅威に備えたつもりだ。あれだけあれば十分だろう?
セキュリティ担当者:率直に申し上げると、1000万円ほど不足しています。最近流行しているサイバー攻撃にやられてしまうと、当社の人事情報が流出する恐れがあります。この種の攻撃から当社のシステムを守るためには、未知のウイルスを検知する仕組みが必要です。その追加導入に約1000万円かかります。
経営層:うむ。そう言われても、今の説明では意思決定はできない。対応すべきリスクが理解できないし、判断のための情報が不足しているからな。疑問がいくつもある。1000万円出さなければ危険な状態なのか?そもそも1000万円も必要なのか?他に安価な代替製品やサービスはないのか?
セキュリティ担当者:(即答できず)回答をまとめて再度説明に参ります。
このようなことにならないためには、フィリップ・コトラーが提唱する「▼購買プロセスの5段階モデル」を意識したい。同モデルを情報セキュリティに応用すると、提案に必要な要素の抜け漏れが少なくなる。積極的に活用していきたい。具体的な流れは次のようになる(図1)。
(1)課題(リスク)を明確にする
(2)課題(リスク)の対応策を調査する
(3)列挙した対応策を検討する
(4)他社の評価や事例などを参考に購入を決める
(5)課題(リスク)を解決できているかどうかを継続してモニタリングする
単純に「危険だから予算がほしい」というのではなく、こういったマーケティングのモデルに沿って提案すれば、理解してもらいやすくなるだろう。以降は、各フェーズでどう考え、何をすべきかの例を挙げる。
「問題意識」「情報探索」「代替製品の評価」「購買決定」「購買後の行動」で構成する。