あなたの会社・組織のセキュリティ予算は、毎年いつ頃作成していますか?
日本企業の多くは毎年秋から冬にかけて、来年度のセキュリティ予算を獲得するべく、セキュリティの戦略・計画・施策を検討しています。
一方で、情報セキュリティやサイバーセキュリティへの投資は、企業の売上・利益に直結せず、経営層の方には投資対効果が見えづらいことから、セキュリティ予算取りを上申する際に、どのように説明・調整すべきかを悩んでいるセキュリティ担当者が多いのも事実です。
そこで本ブログでは、セキュリティ予算の獲得に関して、経営層と対話するための「ポイント」と「具体的なセキュリティ予算取りの流れ」を解説します。
「少ない」「増えない」日本企業のセキュリティ予算
2020年4月の緊急事態宣言から急速に進んだテレワーク導入、2021年に入ってから顕著になった日系企業の海外拠点を狙うランサムウェア被害の頻発など、セキュリティ脅威は多様化・複雑化し続けています。
貴社では、このような最新のセキュリティ脅威に対して、十分な備え・対応ができていますか?
備え・対応の前提となるセキュリティの予算策定に、苦しんでいるのではないでしょうか。
企業における情報セキュリティ実態調査2021のレポートから、ある傾向が見えてきます。
日本企業の大半は、セキュリティ予算が「少ない」「増加しない」
IT関連予算に占めるセキュリティ関連予算の割合で、日本の約6割が10%未満でした。
日本のセキュリティ予算は海外(米国・豪州)と比較して少なく、10%未満が大半を占めるという傾向は過去調査から変わっていません。セキュリティ関連予算の割合には、10%の壁があります。
新規セキュリティ対策に投資する予算では、日本企業の大半は「変化なし」と回答しています。DXが進展している一方で、新規セキュリティ対策の費用感に変化がないことの一因には、セキュリティ予算獲得の難しさが影響していると考えられます。
【企業における情報セキュリティ実態調査】NRI Secure Insight 2021
ではなぜ、日本企業のセキュリティ予算は「少ない」「増加しない」のでしょうか?
経営層の視点で捉えると、3つの理由が考えられます。
- セキュリティ=「コスト」という経営者の意識
- 専門用語が難しい・必要性が判断できない
- 自社で大きなセキュリティインシデントが発生していない
理由1 セキュリティ=「コスト」という経営者の意識
セキュリティ施策は売上に直結しないがゆえ、コストととらえる経営層が一定数いることは事実です。経営者の関心事の大半は、売上・利益を高めることにあるため、コストを最小限に留めようという力が働くことになります。
理由2 専門用語が難しく、必要性を判断できない
情報セキュリティ、サイバーセキュリティの専門用語は多く、複雑であるため、経営者が実態やインパクトを理解することが難しく、「この施策には、どんな意味や効果があるのか」といった投資額の妥当性を判断する要素・材料が少ないことも理由の一つです。
理由3 自社でセキュリティインシデントが発生していない
残念ながら、一定数の経営層には未だに「自社に限ってインシデントは発生しない」「ウチ(自社)には攻撃者に狙われるような重要情報はない」「むしろ予算削減の対象ではないか」と感覚的に自己評価するケースも多くみられます。
NRIセキュアが実施している実態調査でも、日本におけるセキュリティ対策実施のきっかけの約25.6%が「自社でのセキュリティインシデント」という結果となっています。
自社が大きなインシデントをうけない限り、セキュリティ投資の理解・後押しを得るのは難しく、セキュリティインシデント発生後に、リアクティブにセキュリティ投資が行われているという残念な状況がわかります。
セキュリティ予算獲得に必要な4つのポイント
企業のセキュリティ担当者が、セキュリティ予算を獲得するために、どのようなことを経営層に訴求するとよいのでしょうか?そこには、4つのポイントがあります。
1. 経営層が気にする同業他社を引き合いにして説明する
2. セキュリティ対策の必要性を権威づけしながら訴求する
3. 自社のインシデント影響が委託元やグループ全体に波及する可能性を伝える
4. セキュリティ対策の必要性を複数の視点で伝える
セキュリティ予算獲得のコツは「経営層にいかに自社に置き換えて、自分事として聞いてもらえるか」にかかっています。
そのためには、セキュリティの現場担当者が持つ高度な知識・技術的な内容・根拠を前面に出すよりも、相手が興味を持つ・理解できる内容をベースに「経営視点」で訴求することが最も重要です。
Point 1 - 経営層が気にする同業他社を引き合いにして説明する
経営層の多くは、同業他社の動向や社会のトレンドが気になります。
同業他社を引合いにした説明を行うと、経営者の理解・後押しを得られる可能性が高まります。
具体的には、同業他社で発生した「直近のセキュリティインシデント情報」を説明するケースが多く見られます。
日本企業のセキュリティ実施のきっかけの第1位には「他社でのセキュリティインシデント」がランクインしており、セキュリティ予算が日本よりも高い傾向にある海外でも上位にランクインしています。
セキュリティインシデントの情報に加えて、セキュリティ対策に関する2つの観点として、
" 他社のセキュリティ対策動向 ⇔ 自社のセキュリティ対策実態" を付加すべきです。
同業他社が、どのようなセキュリティ対策を、どこまで実施しているのか
同業他社と比べて、自社はセキュリティ対策ができているのか、いないのか
同業他社の「セキュリティインシデントの情報(迫りうるセキュリティ脅威)」および「セキュリティ対策の情報(セキュリティ脅威に対するリスク管理策)」という因果関係を併せて提示することで、経営層がセキュリティ予算の必要性を理解しやすくなります。
Point 2 - セキュリティ対策の必要性を権威づけしながら訴求する
企業のセキュリティ担当者が、高度な知識・経験を活かし、リスク分析結果を踏まえた上で、セキュリティ予算を申請した場合でも「それは担当者による主観的な判断では?」という質問を受けるケースがあります。
このようなケースにおいては、セキュリティ対策の必要性を権威づけすることが重要であり、具体的には2つの観点での訴求が有効です。
- 1. セキュリティガイドラインをベースにセキュリティ対策を選定したことを訴求する
- 2. 外部専門家(第三者)の見解・提言を活かして訴求する
効果的な方法は、国や業界団体が発行しているセキュリティガイドラインをベースに、セキュリティ対策を選定したことを説明することです。
昨今、特にグローバル企業におけるサプライチェーンの観点では、業界標準であるセキュリティガイドライン(NIST SP800-171やCMMC)で満たせない項目があった場合、取引先から除外したり、改善を促される動きがあります。
このような背景・動向をふまえて、取引先や委託元の業界が重要視している規制やガイドラインに沿ったセキュリティ対策を選定し、根拠や拠り所を明確にして訴求することが効果的です。
また、自社のセキュリティ戦略や計画に、公平かつ中立な第三者意見を取り入れることも有効です。具体的には、セキュリティの専門家が提供するコンサルティングやアセスメントツールを利用し、外部専門家による意見を引用しながら、経営層に訴求することも有効な一手です。
Point 3 - 自社のインシデント影響が委託元やグループ全体に波及する可能性を伝える
昨今では、特にサプライチェーン攻撃の被害が頻発しています。そのため、企業にはサプライチェーン観点のセキュリティ対策の整備や見直しが求められています。
IPAの10大脅威でも4年連続でランクインし、サイバーセキュリティ経営ガイドラインやNISTサイバーセキュリティフレームワーク(NIST CSF)など、様々なセキュリティガイドラインでも、サプライチェーン関連の項目が強化されています。
サプライチェーンを構成する企業には「自社で発生した事故が委託元やグループ全体に波及する可能性があること」また、グループ内の統括企業には「グループ会社や委託先の1社におけるセキュリティ上の欠陥から、関連する企業全体に影響を及ぼす可能性があること」を意識しなければなりません。
このように、あらゆる企業がサプライチェーンリスクの観点において、サプライチェーンを構成する一員である自覚を持ち、被害者にも、加害者にもならないようにセキュリティ対策を実施する必要があることを建設的な危機意識と共に伝えることもポイントです。
【ニュースリリース】サプライチェーンマネジメント領域のコンサルティングサービスを共同で強化
Point 4 - セキュリティ対策の必要性を内部統制・被害・企業PRの観点で伝える
セキュリティ予算獲得の肝は、経営層がセキュリティ対策の必要性を自分事として意識することにあります。
そのためには、セキュリティ担当者の得意な領域である「セキュリティ脅威」や「技術論」だけではなく、相手(ここでは経営者)の視点に立って、多様な訴求をすることがオススメです。
昨今のセキュリティトレンドや経営層の視点・関心事項を踏まえると、3つの観点があります。
- 観点1 Internal Control:責任は経営層個人にもおよびうる
1つ目は内部統制法の観点です。
セキュリティに関して、経営者が果たすべき役割とはなんでしょうか?
それは経営者として、セキュリティにおける善管注意義務を果たすことに尽きます。
某教育会社で発生した大規模な情報漏えい事案で、最終的には取締役2人が辞任することになったケースがあります。昨今のセキュリティインシデントは、企業への責任追及だけでなく、経営層個人の責任にもなりえる時代です。
善管注意義務の遂行における重要なポイントは、情報漏えい事故の発生有無(結果)ではなく、その発生以前における経営者としての事前準備や思考・判断プロセスの妥当性・正当性に本質があるといわれています。
具体的に、一言でまとめると、
経営者として、企業のセキュリティ対策や予算策定にきちんと向き合ったか
という観点が最重要ポイントです。経営者がセキュリティ対策の善管注意義務に関して、疑義を受けることのないように、セキュリティ担当者が経営層とコミュニケーションを図る過程で、丁寧に善管注意義務の観点も説明していくことが大切です。
- 観点2 Business Continuity:被害=情報漏えいだけに留まらない
2つ目は、事業継続性の観点です。
近年、セキュリティインシデントによる被害は情報漏えいだけに留まることなく、脅威が向かう先は「機密性」から「可用性」にシフトしている傾向も見られます。
経営層の誤った理解 - ウチ(自社)には、サイバー攻撃者に盗まれる情報はない
稀に、自社の経営層の誤った理解により、セキュリティ予算も割り当てられずに困っているセキュリティ担当者の方からお話を聞くことがあります。昨今のセキュリティ脅威動向や具体的なインシデントに目を移せば、機密情報がないからセキュリティ対策の優先度を下げるというような考え方では通用しません。
昨今のセキュリティインシデントは、企業における重要業務や工場の停止・遅延などにも関わってくるので、事業継続性に大きく影響します。某食品会社では、サイバーセキュリティ攻撃によって、ファイルサーバーや財務会計のシステムが侵害され、経営者および企業にとっても大変に重要な決算報告を3ヶ月延期するという事態になりました。
昨今の脅威事例をふまえて、サイバー攻撃の狙いや潮目が変わりつつあることを共有し、ステークホルダーとの信頼関係の構築および事業継続性の観点からも、セキュリティ対策を戦略的に推進していくことが大事です。
- 観点3 企業PR:セキュリティ対策状況の開示=非財務情報の発信・共有
3つ目は、企業PRという観点です。
実際にある企業様では、売上向上とブランディング向上施策に、セキュリティ対策情報の公開を実施している企業も存在します。
総じて、セキュリティ対策の必要性を、単なるリスクだけではなく、関連の他社事例を踏まえつつ様々な角度で伝えて経営目線で必要性を実感してもらい、対応優先度を高めてもらうよう訴求するとことが、今後とても有効になります。
出典:一般社団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)「サイバーセキュリティ情報公開のポイント ~経営者の取組み姿勢が重要~」
セキュリティ予算取りの流れ
実際の予算取りに必要な流れは、大きく4つのステップにわかれます。
ステップ① セキュリティリスク特定(可視化)
セキュリティ戦略・対策を意味あるものにするには、網羅的に対応していくことが重要です。やみくもに、すべての情報資産に対して対策をするのは、コスト面やリソース面でも難しいので、基本的には定期的(年一回など)に、自社の全体像を踏まえたうえで、必要項目を洗い出し、全て実行できる予算を確保する流れを推奨します。
そうすることで、セキュリティ対策にかかるコストを必要最小限にします。
なお、企業がいち早く対策の全体像を知るためには、各国・各団体が出しているフレームワークやガイドラインを参照するの近道です。
これらのガイドラインは、「経営層向け」「マネジメント系」「技術系」などカバー範囲が変わってくるので、複数のガイドラインを組み合わせて活用していくことが理想です。
また、ガイドラインを基に対策検討することで、経営層への説明時にガイドラインをベースに対策選定したという一つの根拠に使えるので、まだセキュリティガイドラインを活用していない企業では、是非この機会にガイドラインの参照を検討してください。
また、実際にリスク特定する方法は、大きく分けて三つあります。
以下図の通り、費用面やリソースによってマッチする方法はそれぞれなので、自社に適切な方法で対応してください。
なお、可視化ツールの活用が、人材不足かつ予算が限られる中で費用対効果高い施策といえます。
ステップ➁ セキュリティリスク分析(優先度付け)
ステップ①で特定したリスクに対して、対応優先度付けを行います。ここでは現在の実態を踏まえながら、企業・組織の目指すレベルを決めることがポイントです。その際、必ずしも最高レベルを目指すことが正解ではないことを注意してください。
例えば、以下のような具体例が考えられます。
製造業の会社であれば、工場の稼働停止(可用性の侵害)やIoT関連の優先度を高める
非上場企業が数年後に上場を目指すような場合であれば、上場企業に値する管理体制をセキュリティを含めて整備する
このように、自社のビジネス特性、自社の近未来におけるあるべき姿・望む姿を想定した上で、カテゴリ毎に目指すべきラインや対応優先度を設定することが重要です。
ステップ③ セキュリティ施策費用の算出
対応優先度を決めた後は、実際の費用算出をしていきます。費用算出時には各対策の対応期日決め、それぞれの費用を各ベンダーに収集し、総額を出していきましょう。同時に導入実績を確認し、自社と同レベル企業が利用しているかも含めて情報収集をするとよいです。
ステップ④ 経営層に報告する
最後に経営層に対して、セキュリティ予算と期待効果を定量的に説明していきます。
企業やセキュリティ担当者毎に、報告のフォーマット・書式があると思いますが、伝えるべきことは下記の5つだと思いますので、この要素を洗い出しましょう
- ・現状
・問題点
・施策メリット・期待される効果
・予算額
・対応計画
Secure SketCHを使ったセキュリティ予算取りの流れ
これまで解説してきたセキュリティ予算取りのポイントや流れを踏まえると、
・具体的に他社データや自社の優先度を伝えるにはどうすればいいの?
・どのように数値化すればいいの?
という疑問が浮かびます。
そんな時の具体的な解決策の手段として、Secure SketCHの活用がおすすめです。
SketCHを利用すると、前段で上げた5つの要素を簡単に定量化・グラフ化することができます。
ここまで本ブログをご覧いただき、ありがとうございました。
セキュリティ予算の獲得に課題を感じているセキュリティ担当者の方が、具体的なアクションを取れるように、本ブログのポイントをまとめたホワイトペーパーを策定しました。
Secure SketCHで得られる情報を使って、「なぜそのセキュリティ投資が必要なのか」「その投資が自社にとってどの程度の効果をもたらすのか」を定量的に経営層に示し、貴社のセキュリティ予算策定にご活用ください!