中小情シスに捧ぐ「セキュリティに理解がない上層部」説得のいろは 予算獲得の勘所

経営層の理解を得られず、セキュリティ予算が増やせない──中小情シスにあるあるの悩み。解決に必要なテクニックは。 苛烈さを増すサイバー攻撃。企業の規模や事業内容を問わず、日々さまざまなインシデントが報じられている。一方で、攻撃に立ち向かう企業の体制はまちまちだ。情報セキュリティ企業のNRIセキュアテクノロジーズが日本・米国・オーストラリアの約3000社を対象に実施した調査によれば、日本企業の6割強が「セキュリティ予算はIT予算の1割」と回答。米国・オーストラリアに比べて予算が少ない状況が明らかになったという。 特に、セキュリティに注力する余裕のない中小企業ではこの傾向が顕著だろう。同社のホワイトペーパー「経営層を説得するセキュリティ予算獲得術」を基に講演などを行う瀬戸達也さん（DXセキュリティプラットフォーム事業本部 GRCプラットフォーム部 シニアセキュリティコンサルタント）も「中小企業は

[suzutaku7]

1番いいのは転職だけど無理な場合は説得したというエビデンスをきっちり持っておくことかな。セキュリティ事故あった時にスケープゴートにされかねない。それでも責任取らされそうだけど。

[Barton]

本当これねえ……通らないのよ……予算もあるけど……「ウチみたいな中小なんか来るわけないやろ～ガハハハ」と言って……。東大阪医療センターの件のように踏み台にされる恐れがあるのに……進まないんです……

[Tack2Me]

諦めよう。インシデントが起こったとしたらそれは経営層が望んだことだ。気に病む必要はない。今できることはインシデントが起こったときに、経営層を詰るための材料を集めることだ。

[sny22015]

最初に挙げてるのが「同業他社を引き合いに出す」なのが面白い

[kotaponx]

ぶっちゃけ、定期的にインシデントが起きると、初めて危機感が醸成されるんだよね。まぁ「喉元過ぎれば熱さ忘れる」になりがちなんだけども

[emt0]

こんなに悩む必要がある中小なんて見捨てて力入れるために求人しているところに行く。見つかって転職するまでにインシデント起きないことを祈る

[a-kuma3]

自分が火傷しないと痛みが分からない人は多いし、そういう人を火傷をする前に説得でいる人は、それなりに優秀なので、活躍できる場を他に探すのが妥当な線。自社に思い入れがあるなら頑張れ

[ni_ls]

3と4は「俺を脅迫するのか！！」って発狂するので悪手

[mezamashi0540]

ISOとかISMSとか話題のPマークとか取得して箔付けじゃないの。セキュリティの意義より、名刺にISMSのロゴマークつけられますとか言った方が受けるかも。

[fukumimi777]

理解があればあったで、仕事が増えるので、どちらにしても地獄

[jassmaz]

説得は無意味なので担当者がセキュリティを破って事故をシュミレーションすれば嫌でも上司は気づく。もちろん立場が危なくなる可能性はあるが、結局、人間の大半は体験しないと理解できない馬鹿な生き物である。

[tattyu]

“この構図が大ごとになった企業もあったそうだ。〜子会社には1人しか担当者〜親会社に〜独自にエスカレーションさせようとしたケース” これが 大ごとなのか。。。日本の会社ってマジでごっこ遊びだよな。

[mayumayu_nimolove]

自然淘汰されるから何もしないで良い