中小情シスに捧ぐ「セキュリティに理解がない上層部」説得のいろは 予算獲得の勘所（2/2 ページ）

[吉川大貴，ITmedia]

「OK。じゃ、諸々まとめて」と言われたら

　では、仮に上記を踏まえて上層部を説得し、うまく理解を得られたとする。その先に待っているのは──おそらく「じゃ、いくらかかってどんな効果が見込めるのかまとめて教えて！」だろう。本当に大事なのはここからだ。セキュリティ施策に必要な予算の試算や、効果の目安は、どのように算出すべきか。

　瀬戸さんによれば、セキュリティ予算や効果の試算は大きく4ステップに分かれるという。1ステップ目は「自社が抱えるリスクの特定」だ。これから講じるセキュリティ対策の全体を定めるためには、まず自社の問題点を可視化する必要がある。

予算取りの流れ（NRIセキュアテクノロジーズ公式ブログから引用）

　とはいえ、特にリソースの限られる中小企業では、指針なしにあらゆる情報資産のリスクを洗い出すのは難しく、外部の知見や人材の活用が必要になる。例えば（1）IPAなどが出しているガイドラインを基に洗い出しを行う、（2）セキュリティ診断サービスやツールを使う、（3）外部のコンサルタントに頼る──などの手が考えられる。

　ただ、基本的には（1）から順に必要な金銭的コストが大きくなる。どこまで外部の力を借りるかは、企業や実施する施策の規模、継続性などを考慮して決めるべきという。「中にはガイドラインを基にスプレッドシートで洗い出しをする企業もある。コンサルを入れる手もあるが、高額なので単発になりがち。メリットとデメリットを比較して使い分けるべき」（瀬戸さん）

　2ステップ目は、洗い出したリスクを基に、対応の優先度を定める「リスク分析」だ。対応リソースが限られる状況では、全ての防御を最高レベルにするのは現実的ではない。瀬戸さんも「大事なのは、企業が目指すべきレベルを定めること」と強調する。

　「上場企業であればそれに沿った管理体制を整備する必要がある。逆に工場を運営する中小企業であれば、稼働停止に陥らないための体制作りの優先度が高くなる。望む姿、あるべき姿を想定した上で、目指すべきラインを定めるべき」（瀬戸さん）

　そして3ステップ目で、ここまで定めた指針を基にセキュリティ予算の算出をすることになる。具体的にはセキュリティベンダーを比較検討したり、見積もりや作業スケジュールを出してもらい、総額を算出したりすることになるだろう。ベンダー選定の基準についてはさまざまな考え方があるが、瀬戸さんは「導入実績を含め、自分たちと同じレベルの企業が利用しているか情報収集すべき」としている。

費用算出やスケジュール調整のイメージ（NRIセキュアテクノロジーズ公式ブログから引用）

　最後は経営層への報告だ。瀬戸さんはここまでの情報を総合した上で「自社の現状、現状のままでは何が問題なのか、施策のメリットや期待される効果、そして予算をまとめたうえで報告するのがポイント」とする。

「同じ目線で話ができる場を用意することが大事」　相互理解のコツ

　システム部門と経営層が相互に理解し合えないというのはよくある話だ。双方の専門性が高まるほどに、同じ言葉でコミュニケーションもできなくなっていく。

　しかし、深まった溝を放置したままでは、後に訪れるトラブルのリスクも大きくなる。足並みをそろえ、事業を前進させるには、まずは双方が互いの目線になってみることが大事だろう。瀬戸さんは最後に、システム部門と経営層が良好なコミュニケーションを取るコツについてこうまとめた。

　「相手が理解できていないことを定性的に伝えても、意見が食い違うばかり。物事の指標を定めたり、定量化したりして、同じ目線で話ができる場を用意することが大切」