セキュリティ投資の重要性

師走が近づいてきました。今年はコロナ禍もあり、例年の年の瀬とは異なる趣きですが、どことなく気忙しさを感じるのは筆者だけではないように思います。
この時期になると、そろそろ来年度の予算を検討される企業も多いのではないでしょうか？筆者が関与するクライアントも来年度を見据えた取り組みに着手しています。コロナ禍で景況の不透明感が漂うこともあり、投資予算に慎重な企業も少なくありません。
セキュリティ投資額も例外ではなく、新たな脅威を覚えつつ、必要十分な投資金額を算出するのに苦慮している情景が垣間見えます。今回のコラムでは、改めてセキュリティ投資の重要性を考察し、適切なセキュリティ投資のプロセスを示していきます。

なぜセキュリティ投資に悩むのか？

セキュリティの重要性は浸透しつつありますが、適切な投資金額を合理的に試算できる企業はそれほど多いとは言えない状況にあります。その理由は様々ですが、大きな要因として「定量的な効果を示すことが難しい」ことです。いかなる投資であれ、その効果と一体となった申請が不可欠となりますが、ことセキュリティ投資に関しては、「日々リスクが増大しており対策が不可欠」、「万一のインシデント発生時には事後対応が甚大」といった脅威を訴えることに終始する傾向になりがちです。
一方で、経営側はセキュリティの重要性は理解しているものの、投資に伴う効果がインプットされないことから、必要最小限な投資という判断に落ち着くことになります。しかし、この場合、万一発生したインシデントによる支出に見合わないといったケースに陥ることにもなりかねません。

そもそも、何のためのセキュリティ投資なのか？

前述の通り、セキュリティ投資にも効果は求められますが、前提としてセキュリティ投資の目的を認識共有しておく必要があります。セキュリティ投資の目的はリスク対応に他なりません。合わせて認識しておきたいのが、セキュリティに関連するリスクは非常に広範であることです。昨今のインシデントから、情報漏洩やサイバーアタック等が思い浮かびがちですが、会社としてのガバナンス上の問題、人材不足、BCP（事業継続計画）に関わる災害やパンデミック等も含まれることも考慮する必要があります。
そう考えると、セキュリティ投資は情報システム部門や情報セキュリティ部門のみが検討するものではないことがご理解いただけると思います。

網羅的にセキュリティ対策を考える

セキュリティ投資は特定の部門ではなく、全社的に検討すべきですが、これはセキュリティ対策を網羅的に検討することにつながります。一般的にセキュリティ対策は４つの分野（組織的対策、技術的対策、物理的対策、人的対策）をバランスよく検討する必要があるとされています。
組織的対策の代表的なものは、全社のガバナンス構築が挙げられます。重要な情報資産を保護するための体制や仕組みづくり、規定類の整備等が一例です。
技術的対策としては、アクセス制御やネットワークの堅牢化、暗号化等が考えられます。
物理的対策としては、入退館、入退室管理、施錠保管、データセンターや最近ではクラウド利用による情報資産の保存・保管等が代表的な対策です。
人的対策としては、教育・訓練によるセキュリティリテラシーの向上や、違反時の罰則、誓約書等による機密保持の遵守義務等になります。
特定の領域の対策に偏っていないかを確認することが、必要なセキュリティ投資の対象範囲を明らかにすることにつながります。

セキュリティ投資算出の考え方

セキュリティ対策は網羅性を確保することは重要ですが、一方で無尽蔵に投資することができないのも事実です。従って、適切な算出が不可欠になります。
ありがちな例として、同業他社事例等を参考にするというものがあります。例えば、わが国のセキュリティ投資額は全IT投資額の約3％が平均とされています。この平均を前提にセキュリティ投資額を算出するという考え方ですが、適切な算出の考え方とは言えません。
理由としては二点あげられます。一つは、たとえ同じ業界、同程度規模の会社であったとしても、取り扱っている情報資産の重要度やボリューム、取り扱い方法には差があり、セキュリティ投資の目的であるリスク対応に直結しないからです。
二つめの理由として、最近ではそもそもIT投資額自体が見えづらい傾向にあるということです。これまでは情報システム部門がIT投資額を算出することが多かったのですが、情報システム部門が所管外のシステムが増大する傾向にあります。そのことで、全社全体のIT投資額が把握しづらくなっているのです。この場合、過去と同様、情報システム部門が算出したIT投資額に基づき、セキュリティ投資額が算出されたとしても、それは情報システム部門所管のシステムに対するセキュリティ投資額に過ぎず、網羅的なセキュリティ投資額とは言えません。

定量的なリスクアセスメントが大前提となる

最適なセキュリティ投資試算の前提として、万一インシデントが発生した場合に想定される被害金額を明確にする必要があります。
下記はある情報漏洩事件に伴う支出金額です。3,500万件の個人情報が漏洩に伴い、情報セキュリティ対策関連の費用として260億円計上しています。

実際は、集団訴訟等から、この金額を上回ることが想定されていますが、一定の目安になると考えられます。
上記はあくまで事後是正に伴う費用ですが、現状実施している予防対策等により、被害想定金額が低減されることも考えられます。その逆に、追加の予防対策が求められるケースも考えられます。いずれにせよ、想定されるリスクを洗い出した上で定量化すること、定量的なリスクアセスメントが大前提といえます。

セキュリティのリスク対応は低減を第一に考える

定量的なリスクアセスメントを実施すると、リスクの大きさ（≒被害想定金額）を金額換算することが可能となります。その上でリスク対応に進むことになります。リスク対応は以下の4種類に分かれます。

但し、想定被害金額＞対策費用となる重要度の高いセキュリティリスク対応は低減を念頭に置くことが必要です。自社での対応が困難であれば、共有によるリスク対応も考慮した方がよいかと思います。
想定被害金額＜対策費用となるリスクは保有することも選択肢に入りますが、その場合、CIO、CISOといった情報セキュリティ責任者による判断、承認を経ることが大切です。

弊社では、Secure SketCHをはじめとするリスクアセスメントツールや各種コンサルティングサービスを提供しております。随時ご相談ください。

執筆者
中司　年哉
株式会社Dirbato（ディルバート）
コンサルティンググループ　シニアマネージャー

パブリックセクター（地方公共団体、独立行政法人など）、金融／製造／サービス業を中心に事業継続計画（BCP）、システム監査、情報セキュリティ監査、認証局監査、内部監査体制構築支援、導入支援、内部統制構築支援、ISO（9001、20000、27001）認証取得支援などのプロジェクトに従事。そのほか、個人情報保護対策構築支援、脆弱性検査、調査研究などについても複数経験。