SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

セキュリティ予算を経営層から引き出すための7つの戦術――米ガートナー ロブ・マクミラン氏が指南


 任務を遂行する上で予算の確保は重要だ。セキュリティ対策が任務なら、予算次第で対応できる範囲が変わってくる(使い道次第でもあるが)。どのように交渉すれば予算を確保できるのか、その戦術をガートナーのロブ・マクミラン氏が指南する。

セキュリティ予算を死守するための戦術とは?(戦術1~3)

INTERPOL Global Complex for Innovation(IGCI) 
ガートナー リサーチ リサーチ ディレクター ロブ・マクミラン氏

ガートナー リサーチ リサーチ ディレクター ロブ・マクミラン氏

 7月11日、ガートナー主催「セキュリティ&リスクマネジメントサミット」にて、ガートナー リサーチ リサーチ ディレクターのロブ・マクミラン氏は「朗報です。CIOとCFOは耳を傾けつつあります」と切り出した。

 ガートナーが実施したCIOへの調査「デジタル・プラットフォームを構築する:2016年のCIOアジェンダ」によると、CIOにセキュリティとサイバー・リスクの脅威と新たな競合の脅威、どちらのシナリオの脅威が大きいかと質問すると前者が59%と出た。経営層がセキュリティやサイバーリスクを脅威に感じているという兆候の1つとなる。  

 セキュリティ対策予算を引き出したい側からすると朗報と言える。マクミラン氏はセキュリティ予算を引き出すための7つの戦術を披露した。ここではセキュリティ対策予算を想定しているものの、広い意味では経営層との交渉術としてとらえることもできそうだ。

戦術1:予算の風向きを感じ取る

 経営層が予算をどのように考えているのか、どの方向に充てようとしているのかを把握する。それに合わせれば引き出せる金額も変わるだろう。マクミラン氏は「運用経費(OPEX:Operational Expense)と設備投資(CAPEX:capital expenditure)のどちらを優先するかを把握する」と指摘する。  

 例えばセキュリティ監視を目的としたとき、人間を雇うことと(運用経費)、セキュリティ機器の購入(設備投資)などアプローチは何通りかある。CIOが優先するほうで提案したほうが折り合いがつけやすいのではないだろうか。経営層の意向を把握できれば、それに合わせた提案ができて交渉も有利に進められるというわけだ。  

 経営層がほかに重要視するものが何かを把握するのも重要だ。事業継続の支出を上回るような、投資支出目標はあるのか。つまり投資しなくてはならないようなものがあるかどうか。経営層が抱える課題を知るということでもある。

戦術2:正当な理由に基づいて自らの存在を示し、需要を生み出す:目標はトップダウンで決まる--セキュリティを戦略的な目標にする

 セキュリティ担当であれば、サイバー攻撃からのリスクから防御することなどが課せられたミッションになる。自分のミッションを明確に示し、そのミッションを遂行するために必要な手段や道具に予算を主張することには合理性がある。経営層も納得しやすいはずだ。  

 企業の目標はトップダウンで決まるため、交渉するべき相手は経営層(に近い人)。そして企業のビジネス目標を達成するために、セキュリティが戦略上必要であると主張する。それは結果的にセキュリティ関係に予算を回してもらえることにつながる。  

 マクミラン氏は「ビジネス目標に合致していれば、(経営層からの)政治的なサポートも得られやすい。経営層と同じ言語で話すことが大事です」と話す。同じビジネス目標を共有している態度を示し、セキュリティ戦略の合理性を説けば承認されやすい。

戦術3:組織の野心的目標を自身がどうサポートしているかを実証する

 組織が持つ目標、例えば業績目標を達成するにはセキュリティが欠かせないことを伝える。「セキュリティがいかに業績向上に貢献できるかをアピールすること」とマクミラン氏は言う。

 「やっておかないと万が一問題が起きたら困るから」という消極的な姿勢よりも、「セキュリティを万全にしておけば業績向上に寄与します」と積極的な姿勢がより好感もたれることだろう。マクラミン氏は「企業の優先事項に対してセキュリティが価値を提供できることをアピールしましょう」と話す。

次のページ
セキュリティ予算を死守するための戦術とは?(戦術4~7)

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8337 2017/01/31 17:45

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング