「予算積んで」ではボスは動かない 情シスのためのIT投資「説得の流儀」：セキュリティ担当者生存戦略

セキュリティやIT施策は投資効果が見えにくいものです。そのため経営層の納得を得るためには情シスが「経営の言語」で語らなければならないでしょう。今回は筆者が現場経験から導き出した、経営層を動かす説明の流儀を詳細に解説します。

[木戸啓太，ITmedia]

　IT部門が“コストの説明役”ではなく“価値の提案者”となるためのポイントを解説する本連載。第1回は「IT投資」や「セキュリティ投資」が企業経営においていかに重要な戦略的意思決定かを、実例や数値を交えてひもときました。

　IT投資やセキュリティ対策は、もはや一部門の課題ではなく、企業全体の持続的成長に直結する「経営判断」そのものです。一方で、経営層の立場からはこうした取り組みが「終わりの見えない投資」「効果の分かりにくい支出」に見えてしまうこともあります。

　第2回となる本稿では、そうした経営層の不安や疑問に対し、IT・セキュリティ施策を“経営視点”で説明するためのアプローチを解説します。

　単なる技術的な観点ではなく、「納得感のある投資計画」をどう設計し、どう伝えるか。さらには「守り」だけでなく「攻め」につながるIT投資としてどう位置付けるかを実体験や顧問先での事例を交えながら、経営陣との間合いの取り方やプレゼン・資料作成のコツも含めて紹介していきましょう。

筆者紹介：木戸啓太（バリュエンステクノロジーズ 執行役員 CIO / CISO コーポレートIT部 部長／コーポレートエンジニア）

NetworkEngineer、ServerEngineerを経て、外資系ベンダーでSIer及び社内システムEngineerを経験。その後、freee株式会社に確実なIPO実現のため、コーポレートIT部門の立ち上げの責任者として参画。同社では、ITEngineerも務めながらCSIRTも兼務し、セキュリティ整備を実施。現在は、バリュエンステクノロジーズ株式会社の執行役員CIO/CISO、情報システム部長/コーポレートエンジニア。また、他社での業務委託やIT顧問なども担いISMSやPマーク取得〜更新、監査対応等も対応。

「これが知りたかった」　経営層の不安を解消する情シスの“やり手テク”

　「このIT投資って、いつまで続けるの？」と初めて経営層からこう尋ねられたとき、筆者は一瞬、言葉に詰まりました。ITやセキュリティは“永続的に取り組むもの”という認識が、自分の中では当たり前になっていたからです。

　しかし経営の視点から見れば、「終わりの見えない投資」はリスクそのもの。ゴールが分からず成果も測りにくいのに、費用ばかりが膨らみリターンが実感できないものに、首を縦に振るのは難しいのです。

　具体的に経営層は以下の不安を抱えています。

• この投資はいつまで続くのか？
• どこで一段落し、何が得られるのか？
• 他の投資と比べて、本当に優先すべきなのか？

　このような疑問に向かい合わずに「セキュリティは終わりがないものです」と返すだけでは、納得は得られません。それ以降筆者は、IT部門・情シスとして経営視点に立った説明を意識するようになりました。

　では、技術的な正しさや業界の潮流だけではなく、経営層にとっての関心事──つまり「コストとリターン」「リスクと回避策」「いつ終わるのか？」──に応えるにはどうすればいいのでしょうか。そのためのツールが「中長期のITロードマップ」です。

　ITロードマップとは単なるToDoリストではありません。目的やスコープ、優先順位、区切り、成果を一貫したストーリーで示すことで、「終わりのない投資」を「見通しのある計画」へと変換し“納得感”を設計するのです。

納得感があるロードマップを作成する3ステップ

　以下は、筆者が実務で実際に使っているロードマップ設計の流れです。

1．現状分析（As-Isの把握）

• IT資産の棚卸し
• セキュリティ診断、リスク評価
• 業務プロセスとシステム運用の実態把握

　まず大事なのは現状を正確に捉えることです。特に経営層には、リスクの「存在」よりも会社経営への「影響」を伝えることが重要です。影響は具体的な数字で示すとより納得感が高まります。例えば「○○の脆弱（ぜいじゃく）性を放置すれば、月次売上の○％が毀損（きそん）する可能性がある」といった具合です。

2．理想状態の定義（To-Beの描写）

• ゼロトラスト体制の確立
• データドリブン経営の実装
• ユーザー中心のIT体験の提供

　ここでは技術だけではなく経営戦略とつながる将来像を描くことがポイントです。「セキュリティ対策」ではなく「IPOに耐え得るガバナンス構築」や「生産性向上による営業人員の稼働最適化」といった表現が有効です。

3．ギャップと優先順位付け

• 現状と理想の差を洗い出す
• リスクレベルや業務影響、費用対効果で評価
• 3年程度のフェーズに分解し、段階的に実行

　このプロセスを経ることで「なぜ今これをやるのか？」「なぜこれは後回しなのか？」が説明できるようになります。特に、すぐにROI（投資利益率）が出る施策と、リスク回避型の施策をセットで提示すると、理解が進みやすくなります。

　また、全てを一気にやる必要はなく、優先順位を付けて「段階的に取り組む計画」として提示することで、「コントロールできる投資」だと認識されます。

顧問先での実例　懐疑から納得へ変わった瞬間

　ある顧問先の中堅企業でIT整備の提案をした際、開口一番で「どうせまた予算が増えるんでしょ？」「これ、永遠に続くんじゃないの？」と言われました。

　その企業は当時、SaaSの乱立による情報漏えいの懸念も抱えており、社内の統制が全く機能していない状態でした。CSIRTもなければ、アカウント管理も人依存です。筆者はまず1カ月かけて、現状を定量的に整理しました。そして「初年度で何を改善し」「3年後にどんな姿になるか」を1枚のチャートで提示しました。

ロードマップの一例

• 【Year 1】SaaS棚卸し＋ID統合管理＋CSIRT設計
• 【Year 2】ゼロトラスト対応＋監査基盤強化
• 【Year 3】全社統制＋BIによる経営ダッシュボード構築

　その後の経営会議で、CFO（最高財務責任者）がこう言いました。「ようやく“全体像”が見えた」。ここから筆者が学んだのは全体を俯瞰（ふかん）できる地図を示すだけで、経営層の納得度が格段に上がるということです。

　そして重要なポイントは「ITの話」ではなく「経営の言語」で話すことです。コストやリスク、効果、競争力、監査対応…これらにひも付けて説明するだけで、見え方は全く変わります。

経営層とのコミュニケーションで意識すべき3つのポイント

　IT投資には守り（Security・統制）と攻め（データ活用・生産性向上）の観点があります。

　経営層は「守りはコスト」「攻めは利益」と認識しがちですが、実際にはどちらも事業継続に不可欠です。「守りの仕組みがあるから、攻めに転じられる」ことを伝える必要があります。例えば以下のようにセットで語ると理解されやすくなります。

• 守り：内部統制、インシデント対応、アクセス権管理強化（IPO準備・監査対応）
• 攻め：データ活用、自動化による人件費圧縮と稼働最適化

　またIPO準備企業や、大手企業との取引がある場合、GRC（ガバナンス・リスク・コンプライアンス）の観点からも、持続的なセキュリティ投資が求められます。ここでも重要なのは「なぜ必要か？」の背景と、段階的に進める計画性であり、経営的な意義をひも付けて語ると説得力が増します。

　筆者が意識しているポイントは3つです。

1. “今すぐやること”と“将来やること”を明確に分ける：　「全部一気にやる」提案は通りません。「費用とリソース」の不安が増すためです。ステップ設計が重要です
2. 費用対効果は「比較」で語る：　「導入コスト1000万円」より、何もしなかった場合の影響として「事故が起これば1億円の損失」の方が伝わります
3. 資料は1枚、話は3分で終える：　経営層は多忙です。複数ページにわたる文字だけの資料、読めば分かるものであっても、読む時間がありません。メッセージを絞り、何を判断してほしいのかを明確にすることが重要です

おわりに　IT部門は“説明責任”を果たせるか

　セキュリティやITへの投資は、終わりがないものです。「終わりのないもの」を「経営の持続可能性」を支える基盤として、どう“納得できるもの”に変えるかは情シスやIT部門の腕の見せ所です。

　筆者たちは単なる技術者ではなく、経営の一翼を担うパートナーであるべきです。そのために必要なのは、経営層に“安心して任せられる”と思ってもらえる伝え方と設計力です。現状を知り、理想を描き、段階を踏んで進める。その繰り返しこそが、信頼と継続的な投資の鍵となります。

　経営層の「このIT投資って、いつまで続けるの？」という不安を、「投資は続くが、意味がある」──その道しるべを示すのが、筆者たちの仕事です。

　次回はIT業界に巣くう「なんちゃって肩書」に切り込みます。