セキュリティ予算を死守するための戦術とは?(戦術1~3)
ガートナー リサーチ リサーチ ディレクター ロブ・マクミラン氏
7月11日、ガートナー主催「セキュリティ&リスクマネジメントサミット」にて、ガートナー リサーチ リサーチ ディレクターのロブ・マクミラン氏は「朗報です。CIOとCFOは耳を傾けつつあります」と切り出した。
ガートナーが実施したCIOへの調査「デジタル・プラットフォームを構築する:2016年のCIOアジェンダ」によると、CIOにセキュリティとサイバー・リスクの脅威と新たな競合の脅威、どちらのシナリオの脅威が大きいかと質問すると前者が59%と出た。経営層がセキュリティやサイバーリスクを脅威に感じているという兆候の1つとなる。
セキュリティ対策予算を引き出したい側からすると朗報と言える。マクミラン氏はセキュリティ予算を引き出すための7つの戦術を披露した。ここではセキュリティ対策予算を想定しているものの、広い意味では経営層との交渉術としてとらえることもできそうだ。
戦術1:予算の風向きを感じ取る
経営層が予算をどのように考えているのか、どの方向に充てようとしているのかを把握する。それに合わせれば引き出せる金額も変わるだろう。マクミラン氏は「運用経費(OPEX:Operational Expense)と設備投資(CAPEX:capital expenditure)のどちらを優先するかを把握する」と指摘する。
例えばセキュリティ監視を目的としたとき、人間を雇うことと(運用経費)、セキュリティ機器の購入(設備投資)などアプローチは何通りかある。CIOが優先するほうで提案したほうが折り合いがつけやすいのではないだろうか。経営層の意向を把握できれば、それに合わせた提案ができて交渉も有利に進められるというわけだ。
経営層がほかに重要視するものが何かを把握するのも重要だ。事業継続の支出を上回るような、投資支出目標はあるのか。つまり投資しなくてはならないようなものがあるかどうか。経営層が抱える課題を知るということでもある。
戦術2:正当な理由に基づいて自らの存在を示し、需要を生み出す:目標はトップダウンで決まる--セキュリティを戦略的な目標にする
セキュリティ担当であれば、サイバー攻撃からのリスクから防御することなどが課せられたミッションになる。自分のミッションを明確に示し、そのミッションを遂行するために必要な手段や道具に予算を主張することには合理性がある。経営層も納得しやすいはずだ。
企業の目標はトップダウンで決まるため、交渉するべき相手は経営層(に近い人)。そして企業のビジネス目標を達成するために、セキュリティが戦略上必要であると主張する。それは結果的にセキュリティ関係に予算を回してもらえることにつながる。
マクミラン氏は「ビジネス目標に合致していれば、(経営層からの)政治的なサポートも得られやすい。経営層と同じ言語で話すことが大事です」と話す。同じビジネス目標を共有している態度を示し、セキュリティ戦略の合理性を説けば承認されやすい。
戦術3:組織の野心的目標を自身がどうサポートしているかを実証する
組織が持つ目標、例えば業績目標を達成するにはセキュリティが欠かせないことを伝える。「セキュリティがいかに業績向上に貢献できるかをアピールすること」とマクミラン氏は言う。
「やっておかないと万が一問題が起きたら困るから」という消極的な姿勢よりも、「セキュリティを万全にしておけば業績向上に寄与します」と積極的な姿勢がより好感もたれることだろう。マクラミン氏は「企業の優先事項に対してセキュリティが価値を提供できることをアピールしましょう」と話す。
