「稟議決裁者にわかりやすく、必要性とメリット/デメリットを説明し製品導入の稟議承認を得るか」実際のセキュリティの稟議の上げ方を解説していきます。
皆様もちろん行われていることと思いますが、稟議書を上げる前に上長はもちろんのこと、上長が必要と判断した関係者などには事前説明を済ませて稟議をおこなった方がスムーズなのは明確です。
では、その際にどのような点を重視して説明すれば良いのでしょうか。
(1)導入する予定の製品
(2)なぜ導入する必要があるのか・導入するメリット
(3)影響範囲・注意しなければいけない点(デメリット等)
(4)製品の金額
(5)他社製品との比較
どの項目も「わかりやすく」「簡潔に」という点に注意をしなければなりませんが、セキュリティ担当者以外の人間にも「わかりやすく」というのはなかなか説明が難しいと思いますので、説明時のヒントになればと思います。
被害額等をまとめた資料もご紹介しており、そのまま使えるので、ぜひチェックしてみて下さい。
近年ではこのような稟議を取る際、技術部門への稟議書と経営部門への稟議書をわけるという方法も取られているようです。
本コラムでは経営部門への稟議を上げる場合の想定で進めていきますが、技術面の説明も詳しく説明しなければいけない場合には「技術部門への稟議」と「経営部門への稟議」を分け、見やすくするというのも手法のひとつだと言われております。
一方では「技術面の詳細を説明してほしい」一方では「技術面の内容がわかりにくい」と言われて問題を抱えている場合は、上長と相談をし、稟議を分け見やすくするのも手段のひとつです。
ここでは、実際にNDR製品を新規導入するという例を出しながら説明を進めていきます。
この記事ではNDRとは何かと詳しく知りたい方にもわかりやすく解説していきます。
この項目では、簡単に製品のキャッチコピーや主な性能を2~3項目程度大きく説明しましょう。詳しくは後ほど説明していくので、この項目では簡単に説明するのが良いです。
【例】NDR製品を導入するとき
・NDRとは、ネットワーク監視、検知を容易に行う、Network Detection and Responseの略です。
・通常とは違う通信量やアクセスがあった場合、ネットワークから侵入してきたウィルスや不正アクセスと疑い、いち早く検知し、食い止めるという対策のひとつです。
※弊社がオススメするNDR製品「⾃⼰免疫型AIサイバーセキュリティソリューションDarktrace Immune System」を説明する際は、こちらの資料の冒頭1行目と製品特徴の箇条書きをそのまま転記すると便利です!
外部攻撃だけでなく、内部不正も検知できます。
この項目では、具体的な社会情勢やシステムをなるべくわかりやすく図解等を施して説明するのが良いでしょう。
特に説得をする際には、この項目(2)と次の項目(3)が重要になってくるので、説明が難しくなる場合は日常生活などに変えながら説明するのも良いでしょう。
現状サイバー攻撃やセキュリティインシデントが起こっていない中で、なぜ新製品を導入する必要があるかをこの項目でしっかり説明することが重要です。
前編の「2.近年のサイバー攻撃を考え、サイバーセキュリティのさらなる強化を問題提起すること」の項目を参考に、実際にあったサイバー攻撃を自社でシミュレーションし、被害額がどの程度になるか算出し、導入予定の製品の価格と比較するのが良いでしょう。
■被害額シミュレーションの際に考えなければいけない費用の内訳
(Ⅰ)事故対応損害
・事故原因/被害範囲調査費用
・従業員端末等の入れ替え作業
・再発防止費用
・被害対応にあたる人員のコスト、専門家がいない場合は外部委託費用
(Ⅱ)利益損害
・1日あたりの売上高、固定費、変動費、営業利益
(Ⅲ)無形損害
・ブランドイメージ損害
・株価下落
【例】NDR製品を導入するとき
・サイバー攻撃を起こしてしまった場合の被害額等を記す
・自社と似たような規模、自社と似たような業種に対する実際のサイバー攻撃の事例を数件簡単に説明する
⇒こちらの資料のP3~8までそのまま使えます!!
・現状の自社のセキュリティ状況を説明。その際、以下のような図なども入っているとわかりやすいでしょう。
<さらに準備しておくとBest!>
セキュリティ担当外に説明をした際に「NDRを入れたのだからエンドポイントセキュリティは外しても良いのでは?」というよくある質問が上がる場合があります。これに対しては「守っている種類が違う」という回答だけで納得してもらえば良いですが、非IT企業だとイメージしにくく、理解してもらえない場合もあるかと思います。
その際は、実際の店舗を例として挙げるのはいかがでしょうか?
実店舗では防犯カメラに加えて、防犯ゲートなどの商品を会計を通さず外に持ち出した場合音のなる設備や、高価なものはサンプルを置いて実商品は手渡しでお渡ししたり、カラーボールや緊急通報装置など複数の防犯設備を常備していて、それぞれ「持ち出された場合」「持ち出されないように」と用途を分けているのです。
これと同じくサイバーセキュリティも用途に合わせて対策をしていくべきというとITの専門性がなくてもイメージしやすくなるのではないでしょうか。
これによってもたらされるメリットを数件記します。
弊社のオススメするNDR製品Darktrace Immune Systemは以下のメリットがあります。
・外部攻撃だけでなく、近年大きな問題となっている転職者が社内の情報を持ち出すといった内部犯行も検知することが可能。
・見やすいUI/UXにより、検証作業において高度なセキュリティ知識を持った人でなくても検証が可能なため、TCO削減(人件費や工数の削減)につながる。
導入によって、予想される他のシステムやセキュリティ製品への影響、メンテナンスが必要になる場合はこちらを記入します。
加えて、注意しなければいけない点、予想されるデメリット等があれば先に共有をしておくのは必須なので、ここでまとめましょう。
例で挙げてきたNDR製品の導入はミラーポートからトラフィックを取得して解析するためインストール等の面倒な手間や、本番環境への影響がほとんどないのも大きなメリットです。
導入費用についてこちらでは記載しましょう。
提示された請求金額だけを記すのではなく、年での支払いの場合は月換算した場合の金額、逆に月々での支払いの場合は年換算した際の金額等を計算し、さらに影響するPCやシステムの台数や種類まで詳細を入れ、オプションがある場合は内訳等も記載すると良いでしょう。
今回採用を予定している製品以外にもいくつか検討した製品があると思います。
これらとの比較をしっかり説明をすると相場感や対応したい事象について決裁者も判断しやすくなるのではないでしょうか。
金額だけでなく、導入の目的の達成度、メリット/デメリットなどの性能、導入時工数、導入後のメンテナンスやサポート等の観点から説明を加えると良いでしょう。
表などで簡単に記すとわかりやすく、判断してもらいやすい形になるでしょう。
第1章の説明で重要決裁者に了承を頂いたあと、実際の稟議書には自社のフォーマットに沿って以下の内容を簡単に記載しましょう。
加えて第1章でした事前説明などで上がった質問とその答えや重要視された部分については、記載しておきましょう。
金額は、月額か、年額か更新時期はいつなのか、事前説明とは別の掲載をしていきましょう。
(1)導入する予定の製品
(2)なぜ導入する必要があるのか・導入するメリット
(3)製品の金額
(4)開始予定時期、初回引き落とし日
(5)その他事前説明で重要視された部分や質問を受けた部分があれば
いかがでしたでしょうか。
NDR製品を例に挙げて稟議承認についてご紹介させて頂きました。
弊社オススメのNDR製品Darktrace Immune Systemについて詳しく知りたい方はこちら。
Googleで「情シス」と調べると、関連ワードとして「無能」というワードが上がってきます。
決して、無能ではないのに関連ワードが上がってきてしまっているのは、担当外の人との認識の乖離にあるように思えます。
近年、テレワークやDX(デジタル・トランスフォーメーション)推進により、情シスの作業が複雑化しているにも関わらず、かつてよく言われた「コストセンターだ」と思っている人も未だ多く、予算をカットされてしまったり、人員を削減されてしまったりすることもあり、特にセキュリティ製品については「このセキュリティ製品は、このまま本当に継続でいいの?」そして「セキュリティ製品そんなに何重もの対策が必要ですか?」という面をなかなか担当外の人間に理解されにくいという側面もあります。
サイバー空間では攻撃者が絶対的に優位にあります。そのため、サイバー攻撃に対する防御力の向上は常に検討していく必要があります。
セキュリティの見直しのタイミングはどのくらいを目途に見直すべきか悩まれている方は多いかと思います。
近年、コロナ禍や働き方改革もあり、これまで全ての仕事をオフィスで完結していた企業もテレワークで、在宅などのオフィス外から仕事をする機会も増えました。
テレワークに切り変える際とテレワークに切り替えた後はセキュリティの見直しの重要なタイミングといえるでしょう。
切り替える際はもちろんのこと、切り替えた後も見直しのタイミングとなるのです。
切り替える際は、「テレワークセキュリティガイドライン 第4版 (2018年総務省)」中、P36に掲載の次世代ウイルス対策ソフトである
「既知のマルウェアの特徴をパターンファイルとして保持し、そのパターンとの一致状況をもって検知を行うのではなく、PC 等において動作するアプリケーションすべてを監視し、そのうちマルウェアに似た挙動のアプリケーションを見つけ、警告を表示したりそのマルウェアの動作止めたりする次世代のウイルス対策ソフト」
引用:テレワークセキュリティガイドライン 第4版 (2018年総務省)
このポイントが網羅されたセキュリティ環境であるかを確認すべきです。
弊社では、マルウェアを検知して駆除するのではなく、攻撃自体をブロックして無効化し、万が一、悪意のあるプログラムに侵入されても、決して悪さをさせないAppGuardをご用意しております。
そして切り替えた後もセキュリティを見直すべきタイミングとなる理由としては、セキュリティが正常に作動し守られているかという点はもちろんのこと、セキュリティ製品によって仕事の作業動作が落ちていないかなどが見直しのポイントとなります。
加えて、セキュリティ製品の見直しについては、2年ほどを目途に上記の点を改めてチェックすることに加え、新種のサイバー攻撃などにも対応できているかどうかを見直すことが必要です。
弊社では、セキュリティのプロがご相談賜りますので、上記のタイミングに見直していない方はぜひ一度お問合せ下さい
お客様の中でご相談が多くなるタイミングは、1項で説明したタイミングに加え、実際サイバー攻撃を受けた企業の被害が大きく報道されたときも考え直すタイミングと言えるでしょう。
このタイミングでは、大きく報道されるため経営陣からの「うちの会社は、大丈夫か」という一声がきっかけになる企業もありますが、セキュリティの責任者が危機感を持って、「最近のサイバー攻撃を見ているとエンドポイントセキュリティ製品の見直しはもちろんのこと、NDR製品を追加したい」などと起案される情シス・セキュリティ担当者の方も多くみられます。
参考:導入企業が語る、NDRの中でDarktrace Immune Systemの強みとは
最近では「ランサムウェア攻撃」による攻撃でデータの一部を暗号化し、既に窃取したデータの一部をダークウェブ上で公開し、データの回復およびデータの公開をやめることと引き換えに身代金を払うよう当該企業に要求するといった攻撃が増加してきています。
JNSAがまとめたインシデント損害額調査レポートでは、生産ライン他主要なシステムは3日で復旧したものの、完全な収束には3か月を要し、被害額(損失額)は3億7,600万円まで上ったと掲載されています。
引用:インシデント損害額調査レポート 2021年版(インシデント被害調査ワーキンググループ P47~48
21年度版の損害額に加えて、2022年4月には、改正個人情報保護法が全面施行され報告義務も有するため、さらにコストや工数がかかってくることになるでしょう。
セキュリティ製品においては、このように莫大な損害額が発生するようなサイバー攻撃が他社で発生しているにも関わらず、セキュリティ製品導入時から時間が経っているのに一度も見直していないとなると問題視されることが多く、いかにこのタイミングで問題提起をし、「サイバー攻撃」に備えるかを考えることも情シス担当者・セキュリティ担当者の責任なのではないでしょうか。
サイバー攻撃から重要な情報資産を防御することに対して、「上長や経営陣の承認を得ること」は必須であり、新しくサイバーセキュリティ製品を契約するには経営陣への説明や稟議書が必要になってくることと思います。
定期的に購入しているような製品とは違うので、情シスやセキュリティ担当外への詳細な説明を求められる場合も多く、いかに「担当外にもわかりやすく、必要性とメリット/デメリットを説明し製品導入の稟議承認を得るか」が重要です。
次回、11月末更新予定のコラムでは、「担当外にもわかりやすく、必要性とメリット/デメリットを説明し製品導入の稟議承認を得るか」について解説します。
