賢い「セキュリティ予算」獲得術【第3回】「セキュリティ予算」の“満額獲得”方法と、交渉戦術 (1/2)

「適切なセキュリティ予算」をどう見積もるべきかは分かった。実際に獲得するには、どう考え、どう行動すべきなのか。獲得できなかった場合はどうすればよいのか。勘所をまとめた。

[藤井仁志，EYアドバイザリー・アンド・コンサルティング]

　連載第2回「『適切なセキュリティ予算』はどのように見積もればよいのか？」で解説した通り、セキュリティ予算はその性質上、個別の技術要素だけを切り出すと獲得が難しくなる。具体的な攻撃シナリオに基づいてリスクを分析し、必要な対策の全体像を俯瞰（ふかん）的に整理した上で、その結果に基づいてセキュリティ予算を見積もることが重要だ。

　最終回となる今回は、適切なセキュリティ予算を獲得するための具体的な方法を見ていく。加えてセキュリティ予算の満額獲得が難しい場合、限られた予算を効果的に使うために、セキュリティ対策の優先順位をどのように付けるべきなのかを説明する。

併せて読みたいお薦め記事

賢い「セキュリティ予算」獲得術

• 「セキュリティ予算不足」はなぜ解消されないのか？　調査結果から探る
• 「適切なセキュリティ予算」はどのように見積もればよいのか？

セキュリティ予算の実態

• 情報セキュリティ予算は増加傾向だが6割は「年間予算無し」――IDC調査
• 予算がなくても最低限やってほしい、学校のセキュリティ対策「3つのポイント」

「適切なセキュリティ予算」の獲得方法

　適切なセキュリティ予算の獲得方法を考える前に徹底すべきなのは、あらゆるセキュリティ予算をひとくくりにして考えないことだ。目的に応じて、セキュリティ予算は幾つかの種類に分類できる。目的が異なれば、当然ながら獲得に向けた予算承認者への説明事項や評価指標も異なる。

　セキュリティ予算は他のIT予算と同じように、以下の4種類に分類できる。

• インフラ関連
• 業務関連
• 戦略関連
• 情報関連

　この4つの分類について詳細に示したのが、以下の表だ。