「セキュリティ対策に予算がつかないんですが…」——経営層を説得する方法を専門家に聞いた
登場人物
🏭 田中さん(製品開発部長・50代)——セキュリティの重要性は理解しているが、経営層から「効果は?」と聞かれると上手く答えられない。
🔒 佐藤さん(セキュリティコンサルタント)——メーカーのセキュリティ投資の意思決定支援にも関わっている。
第1章:なぜセキュリティに予算がつかないのか
🏭 田中: 社長に話すと毎回「それやって売上が増えるの?」って言われて、予算がつかないんです。
🔒 佐藤: 原因は明確で、セキュリティの話を「技術の話」としてしか伝えていないんですよ。経営層が知りたいのは3つだけ。
- やらないとどうなるか(リスク)
- やるといくらかかるか(コスト)
- やると何が得られるか(リターン)
技術的な正しさじゃなくて、ビジネスの言葉で話すことが必要なんです。
第2章:「やらないリスク」を数字で見せる
🔒 佐藤: まず「やらないとどうなるか」を具体的に見せましょう。数字で。
シナリオ:自社製品の脆弱性が公になった場合
| 影響 | 想定コスト |
|---|---|
| 緊急対応(原因調査・パッチ開発・テスト) | 200〜500万円 |
| 顧客への通知・説明対応 | 100〜300万円 |
| 顧客離れ(既存案件の失注・契約解除) | 500〜2,000万円 |
| 信用回復までの営業コスト増 | 継続的 |
| 合計 | 1,000万円〜 |
もう1つ効くのが「失注リスク」です。「セキュリティに200万円投資して、800万円の失注を防ぐ」と言えば、経営層も計算できますよね。
第3章:「いくらかかるか」を正直に伝える
🔒 佐藤: 「全部やるといくら」じゃなくて「最初の一歩はいくら」で答えることです。
フェーズ1:最低限の体制整備(0〜50万円)
- 脆弱性受付窓口の設置(社内工数のみ)
- アップデート方針の文書化(社内工数のみ)
- セキュリティ質問票の回答テンプレート作成
フェーズ2:認証・制度対応(50〜200万円)
- JC-STAR ★1の取得準備・申請(申請手数料198,000円 + 社内工数 or 外部支援)
- PSIRT機能の整備
フェーズ3:本格的なセキュリティ投資(200万円〜)
- セキュリティテスト(ペネトレーションテスト等)
- 開発プロセスの改善
- EU CRA対応のための設計変更
フェーズ1に予算はほとんど不要。「まず50万円で始めて、効果が出たら次のフェーズに進む」と言えば、経営層もOKを出しやすい。
第4章:経営層に響く提案書の作り方
🔒 佐藤: A4で2枚。これだけで十分です。
1枚目:なぜやるか(リスクと機会)
- セキュリティ質問票に回答できず、商談が停滞している実績
- 脆弱性報告の受付窓口がなく、顧客から指摘を受けている
- JC-STAR / EU CRA など、制度対応が迫っている
2枚目:何をいくらでやるか
- フェーズ1の具体的なアクション
- 期待効果:質問票の回答スピード改善、失注リスクの低減
経営層向けには「いくら」「何が得られるか」「やらないとどうなるか」の3点だけ。
第5章:「セキュリティは売上に貢献する」という視点
🔒 佐藤: セキュリティは差別化要因になるんです。今、ほとんどの中堅メーカーはまだセキュリティ体制が整っていません。つまり今やれば先行者利益が取れる。
🏭 田中: 守りの投資じゃなくて、攻めの投資でもある、と。
🔒 佐藤: その通り。提案書の最後に「競合他社のセキュリティ対応状況」を調べて添えると、さらに説得力が増しますよ。
まとめ:経営層を動かす3つのポイント
| ポイント | 伝え方 |
|---|---|
| リスクを数字で示す | 失注額・事故時の対応コスト・罰金リスクを具体的に |
| 小さく始める提案をする | フェーズ1は社内工数中心、50万円以下で開始可能 |
| 攻めの投資として位置づける | 競合との差別化、失注防止、新規案件の獲得につながる |
「セキュリティにお金をかけてください」ではなく、「この投資で○○万円の失注を防ぎ、新規案件の獲得確率を上げます」——これが経営層に通る提案です。
提案の準備に悩んだら
「リスクの数字の出し方が分からない」「フェーズ分けの粒度が適切か自信がない」——そんな場合は、外部の専門家と一緒に整理するのも一つの方法です。
初回相談は無料です。まずは現状の体制と課題感をお聞かせください。
無料相談を申し込む