企業におけるセキュリティ予算の組み方について

サイバー攻撃や、ウイルス感染などによる情報漏えい事件が頻発する中、企業でのサイバーセキュリティの重要性がより認識されるようになってきています。2015年、日本年金機構で発生した125万件もの個人情報の漏えい事件。2014年、ベネッセコーポレーションによる3500万件もの個人情報の流出などなど。

これらの事件は企業の信頼を失墜させるだけでなく、その後の業績にも大きな影響を与えることになります。そして場合によっては企業に対する賠償問題に発展した場合、多額の賠償金を支払い企業の存続に関わるようなことにもなりかねません。

この記事の目次

必要を迫られるセキュリティ対策とその予算

このように、企業にとって情報セキュリティ事故は大変なリスクをもたらすのです。それゆえに、企業にとってはセキュリティ予算を適切に組み、セキュリティ事故のリスクを最小限に減らすことが必要になっています。

現状では多くの企業でIT予算に占めるセキュリティ予算の割合は10％以下であり、特に半数の企業では５%以下となっています。こういった現状を踏まえると、企業が考えるセキュリティ予算の組み方というのは「少ない予算でいかに効率よく効果を上げるか」というところに尽きます。

「いかに効率よく効果を上げるか」という点を考えると、まず重要なことはどういった種類の被害が多いのかということを認識することです。現在のサイバーセキュリティ事故のうち、大きな割合を占めるのは以下の2つです。

外部からの不正アクセスやウイルスなどによる攻撃による被害を指します。これについての対策はセキュリティ対策ソフトの導入や、侵入防止システム(IPS)の設置、ファイアウォールの設置などが挙げられます。

人的要因によるところも多く、「誤操作」「管理ミス」「紛失」など、組織での啓蒙とコンプライアンスの徹底が重要だと考えられるものも多くなります。そういった人的教育のみならず併せてのシステムでの仕組みを導入することも確実に人的要因による被害を減らすためには必要なことです。

これら対策のポイントについて何を優先して実施していくかということは、各企業によっても違います。

例えばネットショッピングなどを行っている小売業では、当然不正アクセス対策なども公開ウェブサイトへのWebアプリケーションファイアウォール(WAF)などが最優先事項になります。

また、外回りの営業が多い保険会社等では紛失・盗難対策が大きな課題となります。こういった実情に基づいて必要な項目を判断した上で、おおまかに必要な項目を決定し、年度の予算化をしておきます。

予算化したうえで、実際に導入する時期になると、具体的に機器やソフトウェアなどを選定します。当然ながら選定の際には、いくつかの製品を比較して信頼性や実績、コストパフォーマンスなどを評価・加味して最終的に導入を決めるというプロセスを踏みます。

こうして予算化から導入までを終えると、次に導入後の評価を行います。これは、導入に伴って、どれだけの効果があったのか、課題がどれだけ解決されたのかということを明確にするためです。

その結果、十分に効果が得られていると判断されれば、それで良いですし更なる効果を得るにはどうするか検討。また効果が得られていないと判断されれば、効果を得るための何が不足しているのか、何をすれば良いのかを検討する必要があります。

企業のセキュリティ予算は、導入することで確実にリスクが減らせるものに投資する必要があり、また投資したことでリスク削減効果が得られる必要があります。その意味では、予算化する際には、必要なものに対して確実に効果が得られるものをしっかり吟味して計画を立てる必要があります。

＜参考＞
「企業のセキュリティ予算、過半数が「IT予算の5％以下」」
http://techtarget.itmedia.co.jp/tt/news/1302/06/news01.html