経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(4)

IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(4)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(4)

エンドポイントセキュリティ 2013/06/25

第4回 経営層への説得シナリオ(3/3) 〜 費用対効果の可視化 〜

 前回は、3つの経営層への説得シナリオの1つとして「リスク対応」についてお話しした。今回は、説得シナリオの最後となる「費用対効果」について説明したい。
 リスク分析の王道として、ある資産が、何らかの問題(脆弱性)により、企業に影響(リスク)を与えた場合をシュミレーションして被害金額を算出する。弊社でも、過去に何度か試みたが、かなりの時間とコストを要し、発生頻度など、なかなか論理的に説明することは難しかったと振り返る。よって経営層への説得シナリオとしては、まずは王道である手法はとらず、「今までやっていなかったこと、つまり前回で述べたリスクを低減するのだから、当然、費用は発生する。」という論調にするほうが、理解を得やすいのではないかと感じている。
 ただIAMを導入することことで、コスト削減が期待できる業務が存在することを訴えるべきだと考えている。具体的には以下のような業務をシステム化することで、コスト削減が可能であると説明し理解を得た。

1:

 IDの作成・権限変更・削除といった日常の運用コストの削減

2:

 ID棚卸に関する作業コストの削減

3:

 共有IDの貸出に関する運用コストの削減

4:

 コールセンタの上位に入る“パスワード”に関する問い合わせの削減

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 これらの業務をコスト換算していくために、“作業工数算定式”を定義し、“想定パラメータ”を決定し、コスト=金額を導いていく。

ここで、悩ましいポイントが2つある。  

 1つ目は「導入前」。つまりAsIs(現状)の業務をコスト換算しなければならないが、IDの作成にかかる時間や、その仮定での伝達ミスの時間などは、ほぼ100パーセントの企業で「実際のところ、どれくらいの時間がかかっているか分からない」ということになる。
 結果、一定期間サンプリングを取ったり、担当者の感覚値で決定するしか手がないということが多い。

 2つ目は、「導入後」。つまり、自動化による効果となる時間短縮の割合である。例えば、手動で10分かかっていたものが、自動化されて1分になるので、“1/10”という割合にあたる数字である。この割合の決定が基本的に“効果を生み出す要素”になるが、各企業により異なる。IDを作成するにも、複数の人や企業が関わり二重チェックを行う企業は、計画・実行・報告などの各書類が多数あり時間も工数もかかる。よって一概に“1/N”の割合で時間短縮できるとは言い難いので、IAM導入プロジェクトチーム全体で議論/決定して頂くことになる。
重要なことはプロジェクトメンバー全員で議論し、社内で理由を聞かれた際に、皆が同じロジックで考えた末に同じ結論を導いたことをしっかり回答できることと考えている。  

参考までに、先の「1.IDの作成・権限変更・削除といった日常の運用コストの削減」について、可視化の例を挙げる。
このような積み上げの結果をまとめ、“導入前”と“導入後+構築費用”で比較する。弊社では結論を、天秤の絵を使い、結果が一目で分かるように工夫している。何社かからお聞きした話ではあるが、いかにシンプルに伝えるかは重要との意見が多い。これは経営層に対して説明する場は、おおよそ15分から20分と、限られた時間であることが多いので、余分な情報をインプットすることが時間の無駄になり、理解を妨げることになるとの意見である。簡単な天秤の絵を用い、結論から順に、「費用対効果がでる」「シミュレーションした結果、@@@円」「理由は、別紙参照」という流れが望ましいのではないかと予測している。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 なお費用対効果については、弊社の海外部門が行った調査の結果を「ホワイトペーパー:セキュリティ管理コストの削減」にもまとめている。もしご興味があれば、ご一読いただきたい。

 本連載では、経営層を説得するシナリオとして“3つの材料”を説明した。決してどの企業でもすんなり理解を得られるとは思わない。しかし、セキュリティを促進させていくうえでおそらく永遠につきまとう課題が、経営層に投資を認めて頂くスキルを磨くことだと思われる。今後も継続する難問ではあるが、チャレンジし続けたいと思う。

 今回の連載が少しでも皆様のお役に立つことができたなら幸いです。また計4回にも渡り、最後までお読み頂き、有難うございました。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006411


IT・IT製品TOP > Key Conductors > 楠木 秀明(CA Technologies ) > 経営層に投資を促すために〜IAMを例に経営層の説得方法を考察(4)

このページの先頭へ

キーマンズネットとは
ソリューション技術本部 プロダクトソリューション部。1997年よりセキュリティ製品を担当。ウィルス、IDS等の外部脅威および、特権ID管理、SSO、IDM等のアイデンティティ/アクセス管理領域に従事。多数の企業で監査対応のプランニングを支援。CISSP、CISA。

ページトップへ