「なぜ経営者は訓練の必要性を理解してくれないのか?」 提案が通るための“数字と視点”の持ち方

💭 よくあるセキュリティ担当者の悩み

「訓練実施の提案をしても“そこまで必要ないだろ”で済まされる」
「優先順位が低すぎて、他の案件に負けてしまう…」

このような声は、よくあることとして、巷で長らく耳にしてきました。
年々巧妙化する標的型攻撃に備えるには、社内全体の意識改革が欠かせませんが、その第一歩となる「訓練」の必要性すら理解してもらえないという壁に、モヤモヤした思いを持っている方もいらっしゃると思います。

そこで、本記事では、経営者が納得しやすい提案の持って行き方について、具体的な数字なども交えながら考えてみたいと思います。

🧠 経営者が“訓練不要”と判断してしまう3つの理由

  1. 他社の被害が“他人事”に見える
  2. 訓練の費用対効果が見えにくい
  3. 売上・成長に直接つながらないと感じている

つまり、「危ないから」「万一のために」という訴えだけでは、経営者の意思決定を動かすことはできないということです。

利益がたくさん出ていて、税金を取られるくらいなら経費に使った方がいいという状況ならともかく、予算に余裕が無い会社であれば、本当に必要なものであってもできる限りお金は使いたくないと考えるので、本当に必要だと感じられないものは「却下一択」にならざるを得ません。

📊 危機感ではなく“数字”で語る

経営者はリスクではなく**“投資効果”**で判断します。
したがって、セキュリティ提案も、感情ではなく論理と数字で組み立てる必要があります。

例えば「ランサムウェア被害の平均復旧コスト」や「フィッシング被害による1回あたりの平均損害額」、また、過去に発生した他社の被害総額事例などをベースに、

「訓練費用50万円 vs 被害による復旧費用○百万円以上」

などと比較可能な構図を示すことで、セキュリティに詳しくない経営層にも響きます。

上場企業、また、上場企業傘下の会社であれば、株価に与える影響、そして、株価下落に伴って発生する損失額を元に提案すれば、かなりの説得力を持って語ることができるはずです。

🧩 活用すべき“説得材料”3選

1. 金額で示すリスク

  • 「うちは関係ない」では済まされない時代。
  • 被害事例や損失の金額を、業界別に提示

2. 実際の被害例(業界の“身近な話”)

  • 例:製造業A社、メールから情報漏えいし取引先と信頼崩壊。
  • 数百万円の損失に加え、信用回復に1年近くを要した。

3. 訓練による成果(他社の成功例を提示)

  • 初回訓練でのリンククリック率:22% → 2回目で5%に低下
  • これは「全社の事故可能性を78%削減した」と言える。

⚖️他のセキュリティ投資との競り合いをどう打ち勝つ?

セキュリティ対策というと、大手セキュリティベンダーがPRする製品やサービスが目立つため、こうした製品やサービスを導入する方が効果が高いと思われがちです。

そして、こうした製品は非常に高額なものが多いため、そちらに予算を回してしまうと、訓練まで予算が回らないということになりがちです。

経営層からすれば、訓練を実施しても100%被害を防ぐことができるわけでもないのなら、被害の発生を未然に防いでくれそうなEDRなどに予算を回す方がよほど有益だと考えるかもしれません。

しかし、セキュリティ対策製品は既に20年以上も前から販売されているのに、未だに次から次へと新しい製品が登場し、販売され続けているのは何故でしょうか?

それは、”セキュリティ対策製品を導入しても被害の発生をゼロにすることはできないから”に他なりません。

高額な費用を投じてシステムを導入しさえすれば、被害の発生をゼロにすることができるのなら、次から次に新たなセキュリティ対策製品が登場し続ける必要などないはずです。

高額な費用をかけても被害の発生をゼロにすることができないのなら、その費用の何分の一、何十分の一、やり方次第では何百分の一費用で済む標的型攻撃メール訓練にも費用を投じて、被害の発生確率自体を下げる方がよほど有益なはずです。

EDRなどの製品はもちろん有効ですが、あくまで“事後対応”であり、ゼロデイ攻撃や内部不正など、検知しきれない事例もあります。また、セキュリティ事故が発生したそもそもの原因が、

  • 脆弱性があるシステムを放置していた。
  • 不審なリンクをクリックしてしまった。
  • 社員の不正行為
  • リスクがあるサイトにアクセスしていた
  • そもそも必要な対策をしていなかった

など、ミスや無知、悪意など、人に起因して発生しているケースの方が実は多いということも見逃せません。

“そもそも攻撃を成立させない”予防こそ、確実性の高い守りであり、予防に関する施策に費用を投じることは、高額な検知システムなどに費用を投じるよりもよほどコストパフォーマンスに優れていることを経営層にインプットしましょう。

📈 提案資料に盛り込むべき図表とメッセージ

  • 「被害額と訓練費の比較グラフ」
  • 「訓練実施前後のクリック率推移」
  • 「同業他社のセキュリティ事故マップ」
  • 「シフトレフトが重要な理由」

📌 キーメッセージ例:
「訓練はコストではなく“保険”であり、“信用維持”への投資です。」

📝 おわりに

経営者に伝えるべきなのは、「危ないからやりましょう」ではなく、

  • 万一被害に遭えば、「これだけの損失が出る」可能性があり、復旧するにしても「これだけの労力とコストがかかります」
     
  • しかし、被害を未然に防ぐ対応を取れば「これだけの損害を未然に防げます」
     
  • そのための費用はわずか「○○」です。

という合理的根拠です。

例えば、何もしなければ1億円の損失が発生してしまうところを、毎年100万円のコストをかけることで、万一の際でも5,000万円くらいの損失で済むとなれば、保険としてのメリットを十分に訴えられるはずです。

ぜひ、感情に訴えるのではなく、「数字」「実例」「効果」で組み立てた提案を資料に盛り込んでみてください。

ちなみに、「万一の際はサイバー保険でカバーすればいいじゃないか」という反論には、こちらの記事「保険金の支払いが数年後だと!─サイバー保険があれば何とかなるは危険な誤解」が役に立つはずです。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示