セキュリティ対策の重要性を強調するニュースは見聞きするものの、自社の経営層に投資対効果をうまく説明できず、最低限の予算内で対応している企業もあるのではないでしょうか。セキュリティ対策というと技術的な側面をイメージしがちですが、リスク管理・コンプライアンスなどの非技術的な観点から経営課題として認識することが重要です。この記事では、セキュリティ対策の必要性をあらためて解説するとともに、セキュリティ担当者が課題とする予算設定・獲得の具体的な留意点をお伝えします。
目次
セキュリティ対策の現状と必要性
日本では、各企業はどのようなセキュリティ対策を実施しているのでしょうか。まず、国内のセキュリティ対策の現状を各種機関の調査結果から紹介するとともに、セキュリティ対策の重要性・必要性を解説します。
各種調査から見るセキュリティ対策の実態
日本情報システム・ユーザー協会(JUAS)が公表した「企業IT動向調査2021」によると、2020年度に情報セキュリティ関連費用がIT予算の15%以上を占めると回答した企業は32.6%でした。2018年度の調査結果では28.7%、2019年度では31.9%であり、年々セキュリティ対策への投資額は増加傾向にあります。
参考:一般社団法人 日本情報システム・ユーザー協会 企業IT動向調査報告書 2021
着実にセキュリティ対策ができていると評価できる一方で、計画的なセキュリティ投資が実施できていない現状も見られます。IT専門の調査会社であるIDC Japan株式会社が2021年に実施した調査によると、約6割の企業が、情報セキュリティへの投資を予算化していないという結果でした。決められた予算がなく、必要なときにセキュリティ投資を行ったり、監査で指摘された部分にセキュリティ投資を行ったりと、明確な利用用途を設定しないスポット的な投資をしているのです。
これらの結果から、多くの経営層はセキュリティ対策の重要性は理解していても、直接的に利益を生まないセキュリティ費用はできるだけ抑えたいと考えていることがわかります。しかし、セキュリティ対策が十分でないために情報漏えいといったセキュリティインシデントが発生し、経営損失につながってしまっては本末転倒です。また、セキュリティ対策は一朝一夕に完成するのではありません。中長期にわたって戦略的に投資を継続することが重要といえるでしょう。
セキュリティ対策の必要性
テレワークの導入や、DX・AI・クラウド利用といったITの活用により利便性が向上しました。その一方で、セキュリティの脅威から守るべき対象が増加したことによるセキュリティリスクも年々増加しています。そのため、セキュリティリスクが顕在化し、甚大な被害が出ないように十分なセキュリティ対策を行う必要があるのです。
サイバー攻撃によるセキュリティインシデントが発生した場合、実務上の被害は「情報漏えい」と「サービス・業務停止」の大きく2種類が考えられます。特に情報漏えいによる被害は甚大です。日本ネットワークセキュリティ協会(JNSA)の調査によると、2018年に発生した情報漏えいインシデント1件あたりの平均想定損害賠償額は 6億円を超えました。
セキュリティインシデントは多額の損害費用が発生するだけでなく、社会的信頼・ブランドイメージの失墜にもつながります。顧客離れや株価の低下、営業機会の損失など、信頼回復に向けた中長期的な取り組みが必要となることから、平時からセキュリティリスクの管理・対策は不可欠です。
参考:「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」
なお、未対応の脆弱性を狙ったゼロデイ攻撃をはじめ、日々高度化・巧妙化するサイバー攻撃によるセキュリティインシデントを100パーセント防ぐことは困難です。そのため、近年ではセキュリティインシデントが発生することを前提に、いかに早く復旧できるかを対策する「サイバーレジリエンス」の考え方が普及しています。
サイバーレジリエンスについては、「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」の記事で詳しく解説していますので、ご参照ください。
日本国内におけるセキュリティ予算不足の背景
日本企業が十分なセキュリティ対策を実施できていないのは、経営層がセキュリティを「自分ごと」と認識できていないことが原因にあげられます。実際にインシデント被害を経験していないためにビジネスへの影響度合いを把握できない、経営層が技術的な用語を理解しきれず必要性を判断できないなど、経営層の理解は進んでいません。
実際に、日本情報システム・ユーザー協会(JUAS)の調査結果によると、セキュリティ対策の協議・決定に経営層が関与していると回答した企業は、2020年度では39.9%にとどまります。2018年度の調査以降、年々経営層の関与度合いは増加しているものの、セキュリティ対策の重要性を理解していなかったり、IT部門任せにしていたりと、いまだ多くの企業で経営課題として認識されていないのが現状です。
参考:一般社団法人 日本情報システム・ユーザー協会 企業IT動向調査報告書 2021
適切な予算設定・獲得に向けたポイント4選
十分なセキュリティ対策を実施するためには、経営層がセキュリティ対策の必要性を理解することも重要ですが、現場担当者が経営層へセキュリティ対策の妥当性を納得させるための取り組みも欠かせません。つまり、セキュリティ対策の全体像を可視化したうえで、優先度に応じて予算を配分できるように働きかけることが有効です。適切にセキュリティ予算を設定・獲得するために、押さえておきたいポイントを4つ解説します。
セキュリティリスクの特定(守るべきものと脅威を可視化する)
セキュリティ対策の全体像をつかむためには、まずセキュリティリスクを明確にすることが重要です。企業が保有する情報資産、および保護すべきシステムや事業を洗い出し、それぞれの重要性や価値、想定される被害の規模・影響を明らかにします。
リスクの分析(発生の可能性や影響度を明らかにする)
特定したセキュリティリスクの発生頻度と、リスクが顕在化した際の影響度を分析します。なお、セキュリティリスクの特定・分析にあたっては、各国・各団体が公表しているフレームワーク・ガイドライン、および可視化ツールを利用するのが効果的です。例えば、独立行政法人情報処理推進機構(IPA)が公開している「サイバーセキュリティ経営可視化ツール」などがあります。
リスクの評価(分析結果をもとに、セキュリティ対策の優先順位づけ)
特定、分析したセキュリティリスクに対して、企業がリスクを受容できるかどうかを判断し、対策を検討するプロセスがリスク評価です。あらかじめリスクの許容基準を設けておき、基準と照らし合わせながらセキュリティ対策の要否を判断します。基準を満たさず受容できないリスクに対しては、セキュリティ対策が必要と認識し、必要な対策の洗い出しと優先順位づけを実施しましょう。
リスク対策の検討について、例えばテレワークを狙った攻撃による情報漏えいや業務停止リスクへの対策を強化したいケースの場合、想定される攻撃方法や影響度に応じて必要なセキュリティ対策を検討します。
この場合のセキュリティ対策としては、パソコンやスマートフォンなどの、企業ネットワークの末端に位置するデバイスに対するセキュリティ対策を実施する「エンドポイントセキュリティ」が有効です。
エンドポイントセキュリティについては、「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」の記事で詳しく解説していますので、ご参照ください。
経営層への予算説明
リスク特定~評価までのアセスメントが実施できたら、経営層へセキュリティ対策の投資対効果を説明します。このとき、他社の動向や社会的なトレンドを引き合いに出したり、専門家・専門機関の意見を取り入れたりすることも有効です。
また、セキュリティ脅威や技術的な話題だけでなく、適切なセキュリティ対策が企業の社会的信頼の獲得やブランドイメージ向上などのビジネスメリットにつながることをあわせて説明することも重要です。複数の視点から経営層がセキュリティ対策を「自分ごと」として認識できるようにしましょう。
セキュリティ対策にかかる予算は適切に設定・獲得しよう
日々巧妙化・高度化するサイバー攻撃から大切な情報資産を守るため、セキュリティ対策は欠かせません。しかし、どんなにニュースでセキュリティ対策の重要性を見聞きしようとも、実際に被害にあわないと本腰を入れて対策できない企業も多いのではないでしょうか。セキュリティの現場担当者だけが危機感を持つのではなく、この記事を参考にしながら経営層の協力を取りつけ、組織的にセキュリティ対策の強化に取り組みましょう。