予算の獲得と計画性
セキュリティの対策をすべて無償ですることはできません。技術的な対策を立案する場合には予算を確保し実装する必要があります。限られた資源の中で予算を獲得し、計画を立ててセキュリティ対策を行うことが重要です。
Point① 年間計画と予算獲得
予算策定を年間計画で行う場合には、1年間の取り組みをある程度想定しておく必要があります。特に、機器の導入や入れ替えなどが発生する場合には、数年での計画と予算の調整が必要になる場合もあります。
| 無償 | 有償 |
|---|---|
| ルール見直し・作成 | 機器導入 |
| 社内講師によるトレーニング | 外部講師・コンテンツによるトレーニング |
| 内部監査 | 外部監査 |
これらスケジュールから、必要な予算は外部講師招聘のための予算と、外部監査を受けるための予算を獲得していくこととなります。また、年間計画が立案されているため、実行がしやすくなるというメリットもあります。
Point② スポット対応と予算獲得
セキュリティの対応には顕在化リスクに対して対応する場合があり、その場合は計画通りの執行とならない場合があります。
スポット対応となりやすい予算
- インシデントの発生に伴う対応費用
- インシデント原因根絶のための対策費用
- 新たな脅威出現による対応費用
スポットで予算獲得が必要な場合には、経営会議などでの承認が求められるケースが多いです。また、緊急事態での予算獲得となるため、しっかりと吟味できないケースとなります。ゆとりを持った対応を目指すのであれば、予算計画の中に事後対策費用などを初めから計画しておくとスムーズです。