経営層も思わずうなずく「クラウドセキュリティ予算確保」の極意とは：クラウドセキュリティ予算取りのこつ【後編】

クラウドセキュリティ予算を確保するに当たり、突破しなければいけない壁の一つが経営層の説得だ。どうすればいいのか。クラウドセキュリティ予算取りに役立つポイントをまとめた。

[Dave Shackleford，TechTarget]

　クラウドサービスの採用が広がる中、一段と重要性が増しているのがクラウドセキュリティだが、クラウドセキュリティはお金がかかるものだ。経営層の説得を含めて、必要な予算を確保するためにはどうすればいいのか。4つのポイントのうち、本稿は3つ目と4つ目を紹介する。

3．クラウドセキュリティのコストを細分化する

併せて読みたいお薦め記事

連載：クラウドセキュリティ予算取りのこつ

• 前編：クラウドセキュリティ予算確保の鉄則とは？　経営層を動かす必勝パターン

そもそも「クラウドセキュリティ」とは

• いまさら聞けない「クラウドセキュリティ」の基礎　機能とその役割は？
• クラウドセキュリティのキャリアアップに役立つ「認定資格」はどれだ？

　クラウドセキュリティのツールやサービスごとに、ライセンスやサブスクリプション、実装や運用、保守や従業員向けトレーニングなどのコストを検討する必要がある。クラウドサービスによっては、データ暗号化をはじめ、さまざまなセキュリティ機能を追加料金なしで利用できる場合もある。

　クラウドサービスの構成と設定が正しいかどうかのチェックや、脆弱（ぜいじゃく）性の特定などができるツールとして「CSPM」（Cloud Security Posture Management）がある。CSPMを用いれば、クラウドサービスの監視や脅威の検出を自動化してコスト削減につなげることができる。特にセキュリティ専門家がいない組織にとっては、セキュリティベンダーのマネージドサービスを利用することも有効だと考えられる。

　クラウドセキュリティの予算を確保する際、意思決定者に対して「なぜその支出が必要なのか」を分かりやすく説明することが重要だ。以下にその例を挙げる。

• リスク軽減
  • クラウドセキュリティの支出によって軽減されるリスクを明確にする。例えば、「IAM（アイデンティティおよびアクセス管理）を導入すれば、不正アクセスや情報漏えいのリスクを減らせる」といった具合だ。
• コンプライアンス（法令順守）要件
  • セキュリティのさまざまなルールや規制を守らなければ、罰金の支払いや社会的評価の低下、業務の中断によるコストが発生する恐れがあることを強調する。
• 攻撃によるコスト
  • ランサムウェア（身代金要求型マルウェア）攻撃や情報漏えいが組織にもたらす影響を説明するために、同業他社が狙われた攻撃に実例とそれによる被害を示す。
• ビジネスとの関係
  • クラウドセキュリティへの投資が、製品開発のスピードアップやデータ共有の安全性強化、顧客との信頼関係構築を可能にし、ビジネス成長に直結することを説明する。

4．経営層を納得させる

　最後に、クラウドセキュリティの予算について経営層の承認を得なければならない。そのためにはどのような作戦を立てるとよいのか。3つのポイントで考えよう。

• ビジネス観点を取り入れたプレゼンテーション
  • クラウドセキュリティに関して経営層が最も重視するのは、「自社に対するリスク」「法規制の順守」「社会的評価の維持」だ。プレゼンテーションではこの3点を意識し、経営層が知りたいと想定される情報を簡潔に説明しよう。クラウドセキュリティのKPI（重要業績評価指標）を算出し、費用対効果（ROI）を明確にすることも有効だ。
• 実例による説明
  • クラウドセキュリティが不十分なため攻撃を受けた組織を事例として取り上げ、攻撃の恐ろしさに具体性を持たせる。
• 比較シナリオの提示
  • 攻撃によって生じる可能性があるコストと、攻撃リスクを軽減するための予算案を比較したシナリオを提示しよう。グラフや図版を使えば、クラウドセキュリティ予算の必要性を分かりやすく示せる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。