企業におけるセキュリティ対策は、予算との戦いでもある。「与えられた予算の中でうまくやる」ことも大切だが、何より大事なのは「予算を確保する」ことだ。予算がなければ何もできない。

 ただ現実には、セキュリティ担当者が経営層に現在のサイバーセキュリティリスクを説明しても、なかなか予算をくれないといった悩みの声をよく聞く。その場合、セキュリティ対策の予算をとるための経営層とのコミュニケーションは一種の“営業”と考えたい。今回もケーススタディーを通じて経営層との会話のポイントを解説する。

「本当に1000万円も必要か」

 最初のケーススタディーは予算の額を巡る経営層とセキュリティ担当者の会話である。

経営層:今年のセキュリティ対策予算は昨年よりも増やしておいた。高まるサイバーセキュリティの脅威に備えたつもりだ。あれだけあれば十分だろう?

セキュリティ担当者:率直に申し上げると、1000万円ほど不足しています。最近流行しているサイバー攻撃にやられてしまうと、当社の人事情報が流出する恐れがあります。この種の攻撃から当社のシステムを守るためには、未知のウイルスを検知する仕組みが必要です。その追加導入に約1000万円かかります。

経営層:うむ。そう言われても、今の説明では意思決定はできない。対応すべきリスクが理解できないし、判断のための情報が不足しているからな。疑問がいくつもある。1000万円出さなければ危険な状態なのか?そもそも1000万円も必要なのか?他に安価な代替製品やサービスはないのか?

セキュリティ担当者:(即答できず)回答をまとめて再度説明に参ります。

 このようなことにならないためには、フィリップ・コトラーが提唱する「購買プロセスの5段階モデル」を意識したい。同モデルを情報セキュリティに応用すると、提案に必要な要素の抜け漏れが少なくなる。積極的に活用していきたい。具体的な流れは次のようになる(図1)。

(1)課題(リスク)を明確にする
(2)課題(リスク)の対応策を調査する
(3)列挙した対応策を検討する
(4)他社の評価や事例などを参考に購入を決める
(5)課題(リスク)を解決できているかどうかを継続してモニタリングする

図1●セキュリティ対策の予算確保に向けた5段階モデル
図1●セキュリティ対策の予算確保に向けた5段階モデル
フィリップ・コトラーが提供する「購買プロセスの5段階モデル」を情報セキュリティに応用したもの。
[画像のクリックで拡大表示]

 単純に「危険だから予算がほしい」というのではなく、こういったマーケティングのモデルに沿って提案すれば、理解してもらいやすくなるだろう。以降は、各フェーズでどう考え、何をすべきかの例を挙げる。

購買プロセスの5段階モデル▲
「問題意識」「情報探索」「代替製品の評価」「購買決定」「購買後の行動」で構成する。