「そんなセキュリティ対策に効果はあるのか?」

 セキュリティ対策を経営層に上申した際に、こう言われた事はありませんか?

 企業においてセキュリティ対策を導入するには、予算が必要になりますが、予算確保のための上申がうまくいかないケースが散見されます。企業におけるセキュリティ対策は予算との闘いとも言えます。セキュリティ対策ソフトの導入から、古くなったOSのアップグレードに至るまで予算の確保が必要です。

 しかし、セキュリティ対策に対して理解が深くない経営層の場合、新たなセキュリティ対策の導入にGoをもらうという行動は、社外に対する営業活動とほぼ変わりません。社内におけるセキュリティ対策の導入も、社外における営業活動も、単に「Goが出た」「Goが出なかった」という結果だけを追うと、何が原因で結果に結びついているのかがわかりません。

 そこで今回は、アメリカの経済学者であるフィリップ・コトラーが提唱する「購買プロセスの5段階モデル」をベースにして、セキュリティに理解が浅い経営層に対し、体系立てて「提案」する方法を見ていきましょう。

 

フィリップ・コトラーが提唱する「購買プロセスの5段階モデル」

 「購買プロセスの5段階モデル」は次の5段階で成り立っています。

 【1】問題意識…ニーズの引き起こし
 【2】情報探索…ニーズを満たす製品(方法)の調査
 【3】代替製品の評価…ニーズを満たす製品(方法)の比較
 【4】購買決定…他人の評価なども参考にして購入を決定
 【5】購買後の行動…自身の判断の正しさを検証

 こうして提案のプロセスを分解して見ると、「提案」というものをフェーズごとに見える化でき、それぞれのフェーズにおける課題や進捗を把握する事が簡単になります。それでは、ここから実際のセキュリティの提案に紐付けて見て行きましょう。

 

【1】問題意識……セキュリティ対策のニーズを引き起こす

 セキュリティ対策における「ニーズの引き起こし」は、セキュリティリスクを明確にして「なぜそのセキュリティ対策が必要なのか?」を理解してもらうフェーズになります。つまり、セキュリティ対策だけをアピールしても、相手がセキュリティリスクを理解していなければ、効果は非常に薄くなります。

 セキュリティリスクを明確にするには、リスクを定量的に算出する事も非常に有効なのですが、忘れてはいけないポイントは、そのセキュリティリスクのビジネスインパクトをしっかりと説明する事です。

「今回流行しているウイルスの対策を行うには、追加で製品Aを導入する必要があります。」という説明では、単なる事象の説明なので、経営層からすると、そのウイルスが引き起こすビジネスインパクトが全く分からないため、意思決定材料としては乏しいといえます。

 例えば、… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

蔵本雄一

蔵本雄一

合同会社WHITE MOTION CEO

1社目でアンチウイルスソフト等の開発に携わった後、2005年マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、セキュリティエンジニアとして、主に大規模な顧客環境のセキュリティ向上活動に従事。下流の技術要素から、上流のマネジメント要素まで幅広くカバーしている。また、これらのスキルをベースに、多くの顧客環境に携わることで得た、実際の環境における課題や解決方法に関するケーススタディを生かし、実践的なセキュリティを提案している。2017年6月より、車載セキュリティ専門会社である合同会社WHITE MOTIONのCEOに就任。元筑波大学非常勤講師、日本CISO協会 主任研究員、公認情報セキュリティ監査人、CISSPでもあり、教育、出版、記事執筆、セミナー講師等、多くの活動を通して、情報セキュリティの普及にも深く携わっている。

関連キーワード

連載記事