セキュリティ関連費用の可視化ツール「NAMBOK」を使ってみました

新しくセキュリティや情報システムを担当することになったひとり情報システム担当者やセキュリティ担当者（いわゆる、ひとり情シスと呼ばれる方々）で、「セキュリティの予算取りが上手くいかない」「そもそもどんな対策から始めればいいのか分からない」とお考えの方もたくさんおられると思います。

ITシステムに詳しくない人もそうでない人も予算を策定するのは難しいため、高度な技術を要したり、専門のコンサルティングが必要になることが多々あります。

経営者を説得する材料を作成できるツール「NAMBOK」

2023年1月20日にIPAが、経営陣を説得してセキュリティ予算を確保するための支援ツール「NANBOK」をExcel（XLSX形式）で公開しました。このツールを実行するためには「Microsoft Excel」が必要ですが、無料で使えることができます。

NAMBOKによって、IPA「情報セキュリティ10大脅威2022」 に関わるセキュリティ・インシデントが発生した場合の想定損害額を提示することができます。また、自社へ導入するセキュリティ対策を検討する際に役立つ情報として、セキュリティ製品/サービスがサイバー攻撃に対して防御、検知機能をどのように発揮するかということや、セキュリティ製品やサービスの国内での導入状況を提示することができます。

経営者と担当者がそれぞれ気にかけていること

セキュリティ対策を遂行するための予算を上手く確保できない原因としては、経営者とセキュリティ担当者の立場、注目点、前提知識などが異なることから、お互いが共通して認識できる言葉や数字で対話できないことが考えられます。IPAの言葉を借りますと、双方で以下のように気にかけているポイントが違うようです。

経営者：セキュリティ戦略の根拠が担当者から提示されない
・結局いくらの損失を低減/回避するために、対策をしたいのか？
・対策によって回避できるリスク、特に事業影響は何なのか？
・対策によって他社と比べて優位に立つことができるのか、追いつかなければならない状態なのか？

セキュリティ担当者：サイバー攻撃リスクの重要性が社内に伝わらない
・サイバー攻撃のリスクを金額で表現できず、経営者に上手く説明できない
・サイバー攻撃事例を調査しても、自社や業界との関連性が整理できない
・リスク対策を検討したいが、製品やサービスが多く調査に時間がかかる

セキュリティ関連費用の可視化より
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/visualization-costs.html

NAMBOKは、経営者とセキュリティ担当者のお互いが共通して認識できる言葉や数字として、上に書きましたがIPA「情報セキュリティ10大脅威2022」に関わる事象が発生した場合の想定損害額、またセキュリティ製品/サービスがサイバー攻撃に対して防御、検知機能をどのように発揮するかということや、セキュリティ製品やサービスの国内での導入状況を提示することができます。

実際に使ってみて

最低限ではありますが、私自身も実際にNAMBOKを使ってみました。使い方は、まずは恐れているセキュリティ脅威と所属する業界を選択します。次に、自分が所属する企業の規模や、セキュリティ・インシデントが発生した際に影響を受ける規模、そのときのITシステムのバックアップ有無などを記載します。すると、損害額試算が算出されます。

１．「TOP」シートで業界と脅威シナリオを選択

検討したい「情報セキュリティ10大脅威2022」における脅威と業界を選択するプルダウンリスト、ツールの概要が記載されています。
例として、情報セキュリティ10大脅威から「ランサムウェアによる被害」、業界は「IT業界」を選んでみます。「損害額を計算する」をクリックします。

NAMBOKのTOPシート

２．「損害額試算」シートで全体シナリオの確認、質問への入力

「TOP」シートで選択した、「情報セキュリティ10大脅威2022」の各脅威の説明と、IPAが考案した脅威シナリオ、自社に関する質問項目（最大18項目）、質問への回答に応じて提示される脅威シナリオにおける想定損害額とその内訳、想定損害額の計算には含めていないものの、その他に発生し得る損害項目が記載されています。
例えば「従業員数100人」「インシデント対応を自社で行えない・外注費用も分からない」「事業継続に必要なバックアップは行っているがハードウェアの保守サービスには加入していない」「工場は保有していない」と入力したところ、損害額の試算結果は「2,300,000円」と表示されました。

NAMBOKの損害額試算シート

損害額の試算結果

３．「損害額試算」シートで企業情報等を入力、損害額の確認

「損害額試算」シートで想定損害額の算出に係る項目一つひとつの算定根拠を記載しています。また、想定損害額の計算には含めていないものの、その他に発生し得る損害項目についても、参考情報を記載しています。

損害額と内訳説明

その他に発生し得る損害項目

４．「対策と本シナリオにおける効果」シートで脅威シナリオに対応したセキュリティ製品/サービスの確認

「TOP」シートで選択した脅威シナリオにおける攻撃者の行動、「情報セキュリティ10大脅威2022」における推奨対策とそれに対応する具体的な製品やサービス、各製品・サービスの効果と考慮すべき事項と脅威シナリオにおける効果、日本国内の導入状況を記載しています。

対策と本シナリオにおける効果

推奨対策と関連プロダクト一覧

対策製品・対策サービスの効果と考慮事項

メリットとデメリット

NAMBOKのメリット

NAMBOKの最大のメリットは、手間を省くことができる点です。専門的な知識が書くとも、必要な情報を入力するだけで、自動的に損害額を試算してくれます。無料で使える点も大きなメリットです。小規模の企業や個人でも利用しやすい点が魅力と言えます。

・損害額を試算するにあたって手間を省くことができる。専門的な知識がなくても自動的に試算してくれる
・無料で利用できる
・推奨プロダクトやサービスの効果を確認することができる

NAMBOKのデメリット

NAMBOKを使うことそのものよりも、算出結果で考えねばならないことはあります。選択できる項目が細かい部分まで考慮されていませんし、実際の業務内容は企業ごとによって異なるため、一概に損害額を試算できるわけではありません。そのため、あくまでも目安として利用することが必要です。そのため、より詳細な情報が必要な場合には、やはりセキュリティ専門家に相談する必要がありそうです。

・企業によって行う業務内容は異なるため、試算された損害額がすべてのそのまま当てはまるわけではない。あくまで目安として利用する
・試算された損害額や、推奨セキュリティプロダクトやサービスを導入するにあたって詳細を知りたい場合は、やはり専門家への相談も必要

まとめ

情報セキュリティ10大脅威による損害額を試算してくれるNAMBOKは、専門的な知識がなくても簡単に試算できる点が大きなメリットです。また、無料で使えるため、手軽に利用することができます。概算ではありますが、ITセキュリティの重要性と損害額、必要になりそうな対策セキュリティサービスの概要を経営層に分かりやすく説明することができると思います。

ただし、試算された損害額や、ITシステム導入費用は企業によって異なるため、あくまでも目安として利用することが必要です。また、NAMBOKの結果からより詳細なことを知りたい場合はITベンダーなどによる適切なアドバイスを受ける必要も出てくると思いますので、その点はご注意ください。