「利益を生まない」セキュリティ予算。その説得にROI(投資対効果)を持ち出すのは悪手だ。ITの話をビジネスリスクへ翻訳し、稟議を通すための具体的な戦術を紹介する。
システムを保護するために不可欠なセキュリティだが、経営陣にその必要性を伝えて予算を確保するのは至難の業だ。どうすれば、経営陣を説得できるのか。実は、魔法のような裏技があるわけではない。経営者視点で「セキュリティ予算捻出ストーリー」を作れば、説明に迫力を持たせ、予算確保につなげることができる。どのようなストーリーなのか。
大半の企業の経営陣にとって、セキュリティは「何も起きなければ、成果が見えない支出」になる。直接、売り上げを生まない、利益を押し上げるわけでもない――。結果として、セキュリティはIT投資の中でも優先順位が下がりやすい。しかし、ここにこそ認識のズレがある。
セキュリティは“利益を生む装置”ではないが、“利益を失わないための装置”だ。
セキュリティ予算を確保するに当たり、最初に経営陣へ共有すべきなのは、セキュリティ予算を削った場合に何が起きるかという具体的な「被害シナリオ」だ。
経営陣が投資判断をする際に見ているのは、ROI(投資対効果)だ。しかし、セキュリティ投資に、売上増加型のROIを求めると議論は必ず行き詰まる。ここで必要なのが、発想の転換だ。
セキュリティの価値は「いくら儲かるか」ではなく、「どれだけの損失を防ぐか」で測る。
ランサムウェア(身代金要求型マルウェア)攻撃をはじめとしたセキュリティインシデントによって、さまざまな被害が生じ得る。例えば、以下のものが考えられる。
これらは一度起きれば、数年分のセキュリティ予算を一瞬で上回る損失になる場合がある。つまり、セキュリティとは単なる「保険」ではない。事業継続の前提条件だ。
経営陣が知りたいのは、「EDR」(Endpoint Detection and Response)や「SASE」(Secure Access Service Edge)の機能ではない。「それが自社のビジネスにどう影響するか」ということだ。つまり、経営陣を説得するには、ITの話をビジネスの話に変えなければならない。経営陣に語るべきポイントは、次の3点に絞られる。
この「翻訳」をした瞬間、セキュリティは情シスの課題から、経営リスクに変わって迫力が増す。
もう一つ、セキュリティに関して経営陣の理解を得にくくする要因がある。それは「何にいくら使うのかが見えない」ことだ。セキュリティ予算確保に成功している企業は、以下の3点を実施している。
この3つによって、セキュリティの予算は青天井のコストではなく、管理可能で、成果を確認できる投資だという印象を与えられる。特にクラウドサービスの利用が進む現在、セキュリティは「使った分だけ払う」サービス利用型に変わりつつある。これはスモールスタートが可能であり、経営判断と相性が良いだろう。
最後に伝えるべきメッセージはシンプル。セキュリティ予算は未来の選択肢を守る投資――セキュリティに投資しない企業は、成長戦略を選べなくなるということだ。AI(人工知能)といった新しい技術の活用、データ分析に基づいたサービス開発、クラウド移行、システムの外部連携。これらは全て、十分なセキュリティがあって初めて選択肢になる。
セキュリティ予算とは、「事故を防ぐための支出」ではない。事業を止めず、挑戦し続けるための経営投資だ。この視点に立ったとき、セキュリティ予算の議論は「削るかどうか」から「どう使うか」へと変わる可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
