情シスがセキュリティ提案を通すための2つのポイント 経営者とのギャップを解消するには

情シスがセキュリティ施策を提案しても、経営者とのギャップによりビジネスに影響を及ぼすことができていないケースは多い。ビジネスに影響を及ぼすIT部門になるためには、経営者の視点を把握する必要がある。本記事では、情シスがセキュリティの提案を通すために役立つポイントを解説する。

[キーマンズネット]

　サイバーセキュリティの脅威が増大する昨今、ビジネスの維持および成長においてIT部門の重要性が高まっている。一方、経営者がセキュリティに理解を示してくれないと悩む情シス担当者も多いだろう。

　本記事では、一般社団法人日本ビジネステクノロジー協会の岡村慎太郎氏（代表理事）による講演を基に、経営者の視点を把握した上でセキュリティについて提案することの重要性や、ビジネスに影響を及ぼすIT部門になるためのポイントを紹介する。

本記事はアイティメディア主催のオンラインイベント「変わる情シス」における、岡村氏の講演「ビジネスを加速させるITの部門に変革するためには〜セキュリティへの経営理解を得るヒントも〜」の内容を基に構成した。

IT部門がビジネスに影響を及ぼすには

　講演のはじめに岡村氏は「IT部門は、単にITツールを導入して管理する役割を担うだけでなく、経営に近い目線でITを使ってビジネスの基盤を構築し、ビジネスを推進するポジションになるべきだ」と述べた。

　そもそもIT部門がビジネスに影響を及ぼすことができていないケースとは、情シス担当者が単に運用業務のみを担当している状況だ。ITツールのアカウント発行や端末の調達、ヘルプデスクなどの業務は重要だが、ビジネスへのインパクトは必ずしも大きくない。

　これらの業務に従事する情シス担当者は次のような課題を抱えている場合が多い。

• 新しいサービスを導入したいが、予算が全然下りない
• 情シスとして成長したいがレガシーな環境しか触れない
• 経営者がセキュリティについて全然理解してくれない

　一方、岡村氏は「情シス担当者が自社の実態を把握せずに、新しいサービスを導入しようとしている場合もある」と語る。製造業を営むある企業の情シス担当者が「ゼロトラストのセキュリティ環境を構築したいが、経営者が理解してくれない」と悩んでおり、岡村氏が話を聞いたところ、担当者は自社の売上高や営業利益率、実際に発生したセキュリティインシデント、インシデントによる損失などを全く把握していなかったという。

　岡村氏は「自社の実態を把握せずに新しいサービスを導入しようとしたり、オンプレミス環境をクラウド化しようとしたりしても経営者の理解を得るのは難しい。特に、追加のコストが発生する場合は、それに見合ったメリットがなければならない。情シスと経営者の間にギャップがあるケースは多い」と述べる。

なぜ情シスと経営者間にギャップが生まれるのか

　情シスと経営者の間のギャップがなぜ生まれるのか、岡村氏は次のように述べている。

　岡村氏によると、コロナ感染症の拡大以降、情シス担当者の求人が増え、高単価な求人もよく見られるようになったという。特に、豊富な資金力を有し、IT環境の構築に注力して事業の迅速な成長を目指すITベンチャーの求人は高待遇なものが多い。

　このように採用市場が変化する中で、「最新鋭のIT環境に触れたい。スキルを習得して転職市場における自らの価値を高めたい」と考える情シス担当者が増えた。

　岡村氏は「このような情シス担当者の思いがギャップを生んでいる」と強調する。「自分が最新鋭の環境に触れたい、自分がスキルを得たい、自分の業務が楽になる」という思いはエンジニアとして当然のものだが、これらを経営者への提案理由にしてしまう点が問題だ。提案を通すためには、経営者の視点を理解しなければならない」と語る。

経営者の視点を理解し提案を通す

　経営者は、使えるお金とメリットをてんびんにかけて意思決定する。

使えるお金とメリット

　2つの要素のバランスが取れていないと、提案は通らない。使えるお金が豊富にある場合は、メリットが多少不明確でも提案が通る。同様に、明確なメリットがあればお金に余裕がなくても提案が通る。

　つまり、情シス担当者は「使えるお金が自社にどのくらいあるのか」「自社のビジネスニーズはどのようなものなのか」を把握しなければならない。

　岡村氏は「自社の余剰資金とビジネスニーズを明確に把握できている情シス担当者は決して多くない。予算削減の指示を受けているとき以外の状況でも、資金とニーズを積極的に把握すべきだ。ビジネス全体を見ると、ITやセキュリティへの投資は後回しになることが多い。その状況を突破するためには情シス担当者が豊富な情報を持っていなければならない」と述べる。

決算書から使えるお金を知る

　企業の資金は有限だ。そのため企業は優先度を定めて資金を活用していく。資金が潤沢であれば実験的な用途に活用しやすくなるが、資金に余裕がなければ活用の基準はシビアになる。

　情シス担当者が自社の資金の状況を知ろうとした場合、最も容易な方法は決算書を確認することだ。決算書からは売上高や売上原価、販売管理費、営業利益、現預金などの情報を把握できる。

決算書から読み取れる情報の例

　これらの譲歩を把握できれば、情シスとして導入を考えているツールやサービスの妥当性を提案しやすくなる。例えば、営業利益が0.5億円の企業に年間0.1億円のコストが発生するセキュリティサービスを導入する場合、営業利益の20％をセキュリティサービスに使うことになり、相当なメリットが求められる。

　一方、極端な例だが、毎年2.5億円の赤字が発生している企業であっても現預金が1兆円あれば、年間0.1億円のセキュリティ投資のハードルは高くないだろう。数字を知ることで、このような肌感覚を得られる。

決算書を見る方法

　決算書を自由に閲覧できない場合、経営者に「決算書を見せてください」「売上高はどのくらいですか」と聞くしかない。その際は3つのステップを踏もう。

　ステップ1で「来年度のIT計画を立てるに当たり、会社の方向性に沿った提案をしたいと思っています」のように質問の目的を明確にする。

　ステップ2では「全てでなくてもいいので、売上高と販売利益、固定費や大まかな人件費、利益、現預金などをざっくりと教えてください」のように段階的な質問を心掛ける。

　そしてステップ3では「純利益はどのくらいか」「現預金はどのくらいか」と尋ね、最小限の情報を得る。

　経営者に直接聞くのが難しければ、まずは直属の上司や管理部長に聞いてみよう。実際に聞いてみると、『営業支援ツールを導入したいと考えている』『セキュリティよりも社内コミュニケーションを改善したい』などの本音を把握できる場合がある。

　「経営者の考えを把握し、立ち話や社内懇親会の機会を活用してタッチポイントを作ったり、経営者の小さな悩みの解決に向けて、スモールウィン（小さな成功）を積み重ねながら信頼関係を段階的に構築していこう」（岡村氏）。

自社の情報を読み解き、経営者の視点を理解する

　情報システムやセキュリティはビジネスニーズに沿って投資していくものだ。ニーズは経営者とのコミュニケーションからしか把握できない。そのためにはコミュニケーションにつながる信頼関係の構築が重要だ。

　ビジネスニーズに沿った上で、セキュリティに関するツールやサービスを提案できると、IT部門や情シス担当者としてビジネスを強くする業務に携われるだろう。本記事で紹介した内容を基に、まずは自社の情報を得るところから着手してみてほしい。