情報セキュリティコラム

セキュリティ製品の稟議を上げて承認をもらう方法

「稟議決裁者にわかりやすく、必要性とメリット/デメリットを説明し製品導入の稟議承認を得るか」実際のセキュリティの稟議の上げ方を解説していきます。

1. 稟議書を上げる前に関係各所には事前説明を済ませておく

皆様もちろん行われていることと思いますが、稟議書を上げる前に上長はもちろんのこと、上長が必要と判断した関係者などには事前説明を済ませて稟議をおこなった方がスムーズなのは明確です。

では、その際にどのような点を重視して説明すれば良いのでしょうか。

(1)導入する予定の製品
(2)なぜ導入する必要があるのか・導入するメリット
(3)影響範囲・注意しなければいけない点(デメリット等)
(4)製品の金額
(5)他社製品との比較

どの項目も「わかりやすく」「簡潔に」という点に注意をしなければなりませんが、セキュリティ担当者以外の人間にも「わかりやすく」というのはなかなか説明が難しいと思いますので、説明時のヒントになればと思います。

被害額等をまとめた資料もご紹介しており、そのまま使えるので、ぜひチェックしてみて下さい。

近年ではこのような稟議を取る際、技術部門への稟議書と経営部門への稟議書をわけるという方法も取られているようです。
本コラムでは経営部門への稟議を上げる場合の想定で進めていきますが、技術面の説明も詳しく説明しなければいけない場合には「技術部門への稟議」と「経営部門への稟議」を分け、見やすくするというのも手法のひとつだと言われております。
一方では「技術面の詳細を説明してほしい」一方では「技術面の内容がわかりにくい」と言われて問題を抱えている場合は、上長と相談をし、稟議を分け見やすくするのも手段のひとつです。

ここでは、実際にNDR製品を新規導入するという例を出しながら説明を進めていきます。
この記事ではNDRとは何かと詳しく知りたい方にもわかりやすく解説していきます。

(1)導入する予定の製品

この項目では、簡単に製品のキャッチコピーや主な性能を2~3項目程度大きく説明しましょう。詳しくは後ほど説明していくので、この項目では簡単に説明するのが良いです。

【例】NDR製品を導入するとき
・NDRとは、ネットワーク監視、検知を容易に行う、Network Detection and Responseの略です。
・通常とは違う通信量やアクセスがあった場合、ネットワークから侵入してきたウィルスや不正アクセスと疑い、いち早く検知し、食い止めるという対策のひとつです。

※弊社がオススメするNDR製品「⾃⼰免疫型AIサイバーセキュリティソリューションDarktrace Immune System」を説明する際は、こちらの資料の冒頭1行目と製品特徴の箇条書きをそのまま転記すると便利です!
外部攻撃だけでなく、内部不正も検知できます。

(2)なぜ導入する必要があるのか・導入するメリット

この項目では、具体的な社会情勢やシステムをなるべくわかりやすく図解等を施して説明するのが良いでしょう。

特に説得をする際には、この項目(2)と次の項目(3)が重要になってくるので、説明が難しくなる場合は日常生活などに変えながら説明するのも良いでしょう。

現状サイバー攻撃やセキュリティインシデントが起こっていない中で、なぜ新製品を導入する必要があるかをこの項目でしっかり説明することが重要です。
前編の「2.近年のサイバー攻撃を考え、サイバーセキュリティのさらなる強化を問題提起すること」の項目を参考に、実際にあったサイバー攻撃を自社でシミュレーションし、被害額がどの程度になるか算出し、導入予定の製品の価格と比較するのが良いでしょう。

■被害額シミュレーションの際に考えなければいけない費用の内訳
(Ⅰ)事故対応損害
・事故原因/被害範囲調査費用
・従業員端末等の入れ替え作業
・再発防止費用
・被害対応にあたる人員のコスト、専門家がいない場合は外部委託費用
(Ⅱ)利益損害
・1日あたりの売上高、固定費、変動費、営業利益
(Ⅲ)無形損害
・ブランドイメージ損害
・株価下落

【例】NDR製品を導入するとき
・サイバー攻撃を起こしてしまった場合の被害額等を記す
・自社と似たような規模、自社と似たような業種に対する実際のサイバー攻撃の事例を数件簡単に説明する
こちらの資料のP3~8までそのまま使えます!!
・現状の自社のセキュリティ状況を説明。その際、以下のような図なども入っているとわかりやすいでしょう。

<さらに準備しておくとBest!>
セキュリティ担当外に説明をした際に「NDRを入れたのだからエンドポイントセキュリティは外しても良いのでは?」というよくある質問が上がる場合があります。これに対しては「守っている種類が違う」という回答だけで納得してもらえば良いですが、非IT企業だとイメージしにくく、理解してもらえない場合もあるかと思います。

その際は、実際の店舗を例として挙げるのはいかがでしょうか?
実店舗では防犯カメラに加えて、防犯ゲートなどの商品を会計を通さず外に持ち出した場合音のなる設備や、高価なものはサンプルを置いて実商品は手渡しでお渡ししたり、カラーボールや緊急通報装置など複数の防犯設備を常備していて、それぞれ「持ち出された場合」「持ち出されないように」と用途を分けているのです。
これと同じくサイバーセキュリティも用途に合わせて対策をしていくべきというとITの専門性がなくてもイメージしやすくなるのではないでしょうか。

これによってもたらされるメリットを数件記します。
弊社のオススメするNDR製品Darktrace Immune Systemは以下のメリットがあります。
・外部攻撃だけでなく、近年大きな問題となっている転職者が社内の情報を持ち出すといった内部犯行も検知することが可能。
・見やすいUI/UXにより、検証作業において高度なセキュリティ知識を持った人でなくても検証が可能なため、TCO削減(人件費や工数の削減)につながる。

(3)影響範囲

導入によって、予想される他のシステムやセキュリティ製品への影響、メンテナンスが必要になる場合はこちらを記入します。
加えて、注意しなければいけない点、予想されるデメリット等があれば先に共有をしておくのは必須なので、ここでまとめましょう。

例で挙げてきたNDR製品の導入はミラーポートからトラフィックを取得して解析するためインストール等の面倒な手間や、本番環境への影響がほとんどないのも大きなメリットです。

(4) 製品の金額

導入費用についてこちらでは記載しましょう。
提示された請求金額だけを記すのではなく、年での支払いの場合は月換算した場合の金額、逆に月々での支払いの場合は年換算した際の金額等を計算し、さらに影響するPCやシステムの台数や種類まで詳細を入れ、オプションがある場合は内訳等も記載すると良いでしょう。

(5) 他社製品との比較

今回採用を予定している製品以外にもいくつか検討した製品があると思います。
これらとの比較をしっかり説明をすると相場感や対応したい事象について決裁者も判断しやすくなるのではないでしょうか。

金額だけでなく、導入の目的の達成度、メリット/デメリットなどの性能、導入時工数、導入後のメンテナンスやサポート等の観点から説明を加えると良いでしょう。
表などで簡単に記すとわかりやすく、判断してもらいやすい形になるでしょう。

2.実際の稟議書

第1章の説明で重要決裁者に了承を頂いたあと、実際の稟議書には自社のフォーマットに沿って以下の内容を簡単に記載しましょう。
加えて第1章でした事前説明などで上がった質問とその答えや重要視された部分については、記載しておきましょう。
金額は、月額か、年額か更新時期はいつなのか、事前説明とは別の掲載をしていきましょう。

(1)導入する予定の製品
(2)なぜ導入する必要があるのか・導入するメリット
(3)製品の金額
(4)開始予定時期、初回引き落とし日
(5)その他事前説明で重要視された部分や質問を受けた部分があれば

いかがでしたでしょうか。
NDR製品を例に挙げて稟議承認についてご紹介させて頂きました。

弊社オススメのNDR製品Darktrace Immune Systemについて詳しく知りたい方はこちら

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT CLC

シー・エル・シーとは

1980年から培った解決力
システムの最適化を提案するエキスパート

CLCはさまざまな業種のお客様からシステムについてのご相談をいただき、そのつど問題の的確な解決に努力してまいりました。
システムに関する豊富な経験とノウハウを活かした実績が評価され、システムの最適化をご提案するエキスパートとして、お客様から厚い信頼を頂いています。