KADOKAWAにグリコ……有名企業のインシデントをIT予算獲得につなげる方法

KADOKAWAのサイバー攻撃被害や江崎グリコの出荷停止のような世間を騒がすデジタルインシデントは、IT予算を引き出すチャンスのタイミングです。説得の機会につなげることができる経営層の発言や、投資対象になりやすいポイント、経営層と対話するコツを解説します。

[久松 剛，エンジニアリングマネージメント]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　KADOKAWAのサイバー攻撃被害のような大型のセキュリティインシデントや、江崎グリコのプッチンプリン出荷停止のような基幹システムにまつわるインシデントが日々話題になっており、ITの社会への浸透を感じます。

　KADOKAWAは20億円の特別損失、江崎グリコの2024年1〜6月における純利益は前年比で半減など具体的な金額が明らかになっていることから、経営層との話題に挙がったことがある情シスの皆さんもいるのではないでしょうか。

　今回は、他社のインシデントを他山の石とせず、IT予算を引き出すことにつなげようというお話です。説得の機会につながりやすい経営層の発言や、投資対象になりやすいIT領域、経営層と対話する際のコツを解説します。

こんな声を掛けられたら大チャンス

　追加投資のチャンスはどのようなきっかけで訪れるでしょうか。

　経営層から「うちは大丈夫なのか？」という声が掛かれば、それは明確なチャンスです。親しい企業でインシデントがあったり自社でも基幹システムを移行中だったりすると不安が生まれやすい傾向にあります。経営層の関心がこちらに向いているうちにプランを提出できるよう準備をしておきましょう。

　また、経営層から「大変なことをやっていることが分かった」というようなねぎらいの言葉があった際も予算アップの可能性があります。普段はかかわりの少ない部署（営業職など）からの優しい声がかかる場合もチャンスです。そうでない場合は、管掌役員に懸念事項として共有するところから始めましょう。

投資対象になりやすいポイント

　投資対象になりやすいポイントを幾つか挙げます。

人員の増加

　懸念事項が人員の増加によって解消できる場合は増員を依頼します。

　すぐに正社員を中途採用することは難しく、最短でも三カ月はかかる上、要件によっては数年かかることもあります。対策としては、社内で余裕のある人材をアサインしてもらったり異動させてもらったりすることが考えられます。

　急な異動募集は社内で暇を持て余している人が配属される可能性があり、微妙な結果になりがちです。ある程度の専門性を持った人材の配属を希望する場合は、外注なども含めて判断しましょう。

外部コンサルタントへの依頼

　解消したい課題の専門性が高い場合、外部コンサルタントに頼ることも考えられます。コンサルティングファームなどに依頼するだけでなく、スポットコンサルティングサービスを使うことで予算を圧縮できる可能性があります。

セキュリティソリューションの導入

　各種セキュリティソリューションを導入することが考えられます。あまり大きなソリューションになると別途新規に予算を取らなければなりません。期中には難しいような金額も想定されるため、事前に費用感を経営層に確認したり松竹梅など複数パターンの提案を準備したりすることが重要です。

契約サービスのアップグレード

　利用しているサービスをアップグレードすることによって、セキュリティレベルやインシデントへの備えを強化できます。監査ログが参照できたり、保存期限が伸びたりするタイプのものがあります。事業の重要な部分に関連するサービスであれば、調査しておきましょう。

サービス監視、サポートプランのアップグレード

　問題が起きた場合、平日の営業時間帯以外は対応されないことがありますが、サポートプランをアップグレードすることで対応時間を広げられます。「AWS」（Amazon Web Services）のサポートプランなどは分かりやすい例です。重要なサービスであれば、これを機会にアップグレードに向けた交渉をしてみてもよいでしょう。

外部セキュリティ診断の依頼

　セキュリティコンサルティング企業などに、対象となるサービスのセキュリティ診断をしてもらうことが考えられます。

　サービスリリース時は問題なくても時間の経過によって脆弱（ぜいじゃく）性が発見されることがあります。数年単位でセキュリティ診断を見送り続けたために個人情報の漏えいが起きたケースもあります。

　セキュリティエンジニアを正社員として雇用することは難しいため、外部人材を頼りながら定期的に診断を実施することをお勧めします。

セキュリティ観点からの外注先の見直し

　私自身、ある大手企業のクライアントワークでコンペに参加した際、次のような経験がありました。

　コンペの感触は良かったものの、クライアント企業の役員と関係のある企業に発注が決まりました。半年後、某社の個人情報漏えい事故が明るみに出て、経営層から「このプロジェクトは個人情報も多く扱うが大丈夫なのか？」と当該企業にセキュリティ面で確認が入りました。その際にセキュリティ対策に大きな問題が見つかったため、繰り上げで受注が決まったという経験です。

　既に外注先が決まっている場合、特にセキュリティという観点から指摘できれば見直しを促せる可能性があります。将来的にインシデントが予想されるような危うい外注先であれば、早期に動くことが数年後の自分を助けることにつながります。

開発しているサービスの品質管理

　外注、内製を問わず、開発に関するサービスの品質管理を依頼することも考えられます。QA（Quality Assurance）などとも呼ばれ、専門業者も存在します。

　数値のズレなどが事業インパクトとして大きいのであれば、こうした業者の利用を検討してもよいでしょう。社内にQAチームがあってもバグが報告されることがあり、第三者のお墨付きを得る安心感もあります。

　私がクライアントワークをしていた際、数百ページの事例紹介ページを含むコーポレートサイトの移行でQAを依頼したことがあります。バグがあると大きな問題になるサービスであれば積極的に依頼するとよいでしょう。

経営層と対話するポイント

　冒頭にお話したように、ITが絡むインシデントは大きなニュースとして扱われるようになりました。よほどニュースを見ていない経営層以外は、ある程度の不安や興味を持っています。そういった形成層にIT担当者がプレゼンテーションするためのポイントがあります。

　一つは「金額」を経営層との共通言語にして話すことです。私も若い時は事象の説明や、必要性を筋道立てて話すことを意識していましたが、非ITエンジニア職の経営層にとっては理解できないだけでなく、興味を持たない場合があります。以下の点を簡潔に伝えることを心掛けましょう。

• 自社で起こるリスクであること
• 他社の場合、どのくらいのインパクトがあったか（金額）
• 自社の場合、どの程度のインパクトが予想されるか（金額）
• 対応にいくらかかるのか（松竹梅のプラン、それぞれの金額、各プランについてどの程度の課題解決の網羅性があるのか、担当者のお勧めなど）

　また、事前に法務や経理に話を通しておくことも円滑に進めることにつながります。

　最後に重要なポイントがあります。それは「この施策をやらないと企業が倒産しますよ」と情シスの口から言わないことです。インシデントが起きることによって倒産するかどうかは経営判断になります。私も昔はこうした言い方をしていましたが、経営層から反発されるだけでした。リスクを淡々と伝えた上で、余計なことは言わないようにしましょう。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito