すべきこと、すべきでないこと：CISO が CFO を説得し、サイバーセキュリティ予算を獲得するために

Menlo SecurityのCFO（最高財務責任者）として、過去数年間でCISO（最高情報セキュリティ責任者）に対する期待が大きくなっているのを感じています。攻撃者はますます戦術を進化させ、ハイブリッドな業務環境への移行を利用した攻撃を強化しているからです。脅威が進化し続ける中、CISOが使うツールも進化しなければなりません。しかしCISOは、予算を獲得せずにそれらのツールを手に入れることはできません。いうまでもないことですが、今日の脅威ランドスケープを考えた場合、予算の獲得はCISOにとって非常に重要です。

予算編成の過程で、CISOは戦略的に要求を出す必要があります。脅威の可能性は無限に見えますが、予算は無限ではないからです。だからこそ、CISOはCFOと強固な関係を築くことが重要なのであり、そうすれば双方の役割をより良く理解することができるのです。

セキュリティ戦略を成功させるためには、CFOに耳を傾け、彼らの言葉を理解すことが最も重要です。CISOがCFOとどのようにコミュニケーションを行うべきかについての業界標準はありませんが、以下に、会話を円滑に進めるための私なりのヒントをお教えします。

予算について早くから考える

CFOは、次年度へ向けて早い時期から予算計画を立て始めます。予算編成のタイミングを見逃して、組織の安全を確保するために必要なツールを入手する機会を逃してしまうことがないようにしましょう。

次年度へ向けた計画の多くは9月に行われるため、CISOは7月か8月までにCFOと予算の増額について話し合いを始める必要があります。そうすることでCISOは落ち着いて会話することができ、突然の予算要求に対するショックを和らげることができます。しかし、予算について概要を話し合うだけでは十分ではありません。CISOは予算獲得で優位に立つために、できるだけ具体的に説明し、要求を「あればいい」からCFOの観点での「なければならない」ものに変える必要があります。

細部にまでこだわる

細部にまで踏み込むことを恐れず、話を単純化しすぎないようにしましょう。CFOは、セキュリティの技術的な仕組みについてはCISOほど詳しくないかもしれませんが、なぜその予算が必要なのかについて、できる限り多くの情報を提供することで、CFOの理解を深めることができます。プレゼンが長すぎる場合には、CFOは一部をスキップさせたり、不要な詳細を無視したりするでしょう。

技術的な詳細を含めることで、CFOが技術的な仕組みのすべてを理解していなくても、予算が何に使われるのかをより明確にイメージすることができます。情報は信頼感を与えるのに役立ち、CFOの理解が深まれば、最終的にCISOと同じ考え方になり、サイバーセキュリティ戦略を支持してくれるようになります。

CFO の悩みを理解するよう努力する

CFOとコミュニケーションを取る際には、最悪の脅威から組織を守るために大規模なセキュリティ投資が必要であり、それ以外の選択肢はほとんどない、というような破滅的な話をしないようにしましょう。これでは、CFOが予算を配分しなければならない他のすべての部門の重要性を無視することになります。CFOの視点を見失ってはいけません。

CFOはトレードオフのゲームをしており、各々の投資はその価値を正当化する必要があります。CFOは、年間の予算編成の一環として、各部門の効率性に関するベンチマークデータに基づいて予算を配分する年間業務計画を作成します。そのプロセスのパートナーとして、「それによって何を得られるのか」という問いに明確に答えることで、CFOの仕事はずっと楽になるのです。

事前にコミュニケーションを行う

予算増額を要求する際に一番避けたいことは、事前に話し合いをせずに会議に出席し、数字の羅列でCFOを困惑させることです。さらに悪いのは、何の説明もせずに予算要求を提出し、CFOが内容を精査してくれることを期待することです。これでは、他の数十もの名もない要求の中の1つの名もない要求になってしまい、CFOがそれを承認するのに十分な情報を提供していません。

その代わり、前日までにスライドや説明書を送付し、数字に関する明確な説明を含めるようにしましょう。パワーポイントを送ることで、翌日の会話が一方通行から双方向の会話になり、突然の予算要求でCFOを驚かせ、ショックを与えることを防ぐことができるのです。

製品の価値を示す

CFOがある特定のソリューションを導入するという決断を下したとしても、それは決して終了を意味しません。毎年、その製品の価値を証明するためのタスクが課され、更新時に予算が拒否される可能性があるのです。更新時にCFOがあなたのことを忘れてしまうようなことがないように、バックグラウンドで黙々と作業する必要があります。

表面的にはすべてがうまくいっているように見えても、舞台裏ではCISOは戦い続けています。CFOにあなたの成果をアピールしましょう。ソリューションが阻止した攻撃の数や、悪意のあるリンクをクリックした人の数など、防止した潜在的な損失を示す統計情報を含むレポートを送ることで、セキュリティソリューションの投資対効果を定量化し、最終的に製品の価値を証明することができます。

これらのヒントは、CFOとより強力なパートナーシップを築くのに役立ちますが、必要とするセキュリティツールをすべて手に入れられるとは思わないでください。予算は無限ではありませんし、すべての脅威のベクトルを完全に遮断できるわけでもありません。CISOは、CFOと同様の優先順位付けプロセスを経る必要があります。

そのため、CISOは予算を最大限に活用し、特定のベクトルにおける脅威を完全に防ぐためのセキュリティソリューションを構築することが重要なのです。CISOが十分な調査の下でそのようなソリューションを提示できれば、CFOも同じ側に立ってくれるでしょう。CFOがCISOを理解し、連携してくれれば、CISOの大きな味方になります。

David Eckstein