2018 年も年末が近づくと、あらゆる規模の企業で来年の予算の策定と交渉が始まります。中小規模企業の IT やセキュリティの担当者にとっては、特に頭の痛い問題と言えるでしょう。できるだけ多くのリソースを確保するための予算の獲得に懸命に取り組むことになりますが、IT 分野には、会社の財政や信用に関連する多大な損害を回避につながるビジネスにとって重要な分野ではなく、厄介なコストセンターであるとみなされることが多いという難しさがあります。ウォッチガードの CIO（最高情報責任者）である Wayson Vannatta が先日、Help Net Security に記事を寄稿し、中堅企業のセキュリティ予算が 2019 年にどのように変化するかを予測し、これらの企業の担当者がセキュリティ予算増額の交渉をどのように成功させることができるか解説しています。

Wayson は、ランサムウェアなどの脅威によるリスクが存在し、データ漏洩からの復旧に多額のコストがかかることを多くの企業が知るようになったことから、中小規模企業や中堅企業においても、セキュリティ予算が増額されるようになると予想しています。それと同時に、IT 環境の変化によって、モバイルワーカーの保護、多要素認証、IoT デバイスのセキュリティ、仮想バージョンのセキュリティアプライアンスの支出が増えることになるでしょう。

年間計画が策定される時期を迎えるにあたり、いくつかの戦略を採用することで、IT 部門の責任者やセキュリティのプロフェッショナルが社内で良好な関係を築き、予算要求ができるだけ高い確率で承認されるようにすることができます。Wayson の記事から、これらの戦略の 1 つを解説している部分を抜粋し、以下に紹介します。

予算会議を始めるにあたっては、今後数年間のロードマップを手短に説明し、会社のセキュリティの現状として、成功している点、改善の余地がある点などを話し合います。このような説明や話し合いは、会社の CFO（最高財務責任者）や監査担当者を説得する貴重な材料となります。
たとえば、「現在はセキュリティ予算の 80％ が防止に集中していますが、データ漏洩が実際に発覚するまでの平均日数は 190 日とされています。効果的な検知とレスポンスを導入すれば、この日数を短縮できます。そこで、来年は検知とレスポンスに、再来年はリカバリの改善に集中して取り組みたいと考えています。」というように、具体的に説明することをお勧めします。

Help Net Security の Wayson の記事全文(英文)で、予算交渉に関するヒントをご確認ください。また、予算の効果的な割り当て方法については、Secplicity のこちらの記事の解説を参照してください。