「そんなセキュリティ対策に効果はあるのか？」

　セキュリティ対策を経営層に上申した際に、こう言われた事はありませんか？

　企業においてセキュリティ対策を導入するには、予算が必要になりますが、予算確保のための上申がうまくいかないケースが散見されます。企業におけるセキュリティ対策は予算との闘いとも言えます。セキュリティ対策ソフトの導入から、古くなったOSのアップグレードに至るまで予算の確保が必要です。

　しかし、セキュリティ対策に対して理解が深くない経営層の場合、新たなセキュリティ対策の導入にGoをもらうという行動は、社外に対する営業活動とほぼ変わりません。社内におけるセキュリティ対策の導入も、社外における営業活動も、単に「Goが出た」「Goが出なかった」という結果だけを追うと、何が原因で結果に結びついているのかがわかりません。

　そこで今回は、アメリカの経済学者であるフィリップ・コトラーが提唱する「購買プロセスの5段階モデル」をベースにして、セキュリティに理解が浅い経営層に対し、体系立てて「提案」する方法を見ていきましょう。

フィリップ・コトラーが提唱する「購買プロセスの5段階モデル」

　「購買プロセスの5段階モデル」は次の５段階で成り立っています。

　【1】問題意識…ニーズの引き起こし
　【2】情報探索…ニーズを満たす製品(方法)の調査
　【3】代替製品の評価…ニーズを満たす製品(方法)の比較
　【4】購買決定…他人の評価なども参考にして購入を決定
　【5】購買後の行動…自身の判断の正しさを検証

　こうして提案のプロセスを分解して見ると、「提案」というものをフェーズごとに見える化でき、それぞれのフェーズにおける課題や進捗を把握する事が簡単になります。それでは、ここから実際のセキュリティの提案に紐付けて見て行きましょう。

【1】問題意識……セキュリティ対策のニーズを引き起こす

　セキュリティ対策における「ニーズの引き起こし」は、セキュリティリスクを明確にして「なぜそのセキュリティ対策が必要なのか？」を理解してもらうフェーズになります。つまり、セキュリティ対策だけをアピールしても、相手がセキュリティリスクを理解していなければ、効果は非常に薄くなります。

　セキュリティリスクを明確にするには、リスクを定量的に算出する事も非常に有効なのですが、忘れてはいけないポイントは、そのセキュリティリスクのビジネスインパクトをしっかりと説明する事です。

「今回流行しているウイルスの対策を行うには、追加で製品Aを導入する必要があります。」という説明では、単なる事象の説明なので、経営層からすると、そのウイルスが引き起こすビジネスインパクトが全く分からないため、意思決定材料としては乏しいといえます。

　例えば、… 続きを読む