経営層の理解を得る、失敗しない予算獲得術

2024年9月

はじめに

セキュリティインシデントの被害額は平均3億円超の調査も

情報漏えいなどのインシデントが後を絶たない。外部からのサイバー攻撃によるものだけでなく、社員が外出中に顧客情報が入ったノートPCを置き忘れたといったうっかりミスもある。こうした情報漏えい防止の対策を怠ると、顧客への損害賠償などで多額のコストを支払ったり、取引停止によるビジネス機会を失ったりするなど、経済的なダメージのみならず、企業が長年築き上げてきた社会的信用を一気に失うことになりかねない。

セキュリティインシデントが引き起こす経済的損失については、例えば、JNSA（特定非営利活動法人 日本ネットワークセキュリティ協会）のインシデント被害調査WGが2023年10月に公表した「サイバー攻撃被害組織アンケート調査（速報版）」では、右記のような被害種別ごとの平均被害額が示されている。

• ランサムウェア感染被害：2,386万円
• Webサイトからの情報漏えい（クレジットカードおよび個人情報）：3,843万円
• Webサイトからの情報漏えい（個人情報）：2,955万円
• その他のサイバー攻撃被害：473万円

考慮すべきは、中小企業であっても被害額が数千万円以上に及ぶ場合があることだ。こうしたセキュリティインシデントを経験した企業は決してセキュリティ対策を怠っていたわけではないだろう。だが、標的型攻撃でウイルス、マルウェアに感染して顧客情報が盗まれたり、不正アクセスで機密情報が流出したりするケースも少なくない。サイバー攻撃の手口は巧妙化、複雑化しており、セキュリティ対策を担当する情報システム部門などにとっても、具体的な強化策をどう経営層に提案するか頭の痛いところだろう。

同業他社のIT投資動向などを示して経営者の理解を深める

経営層に限ったことではないが、ビジネスにおいては、投資に対してどれだけの利益（リターン）が見込めるのか、投資対効果が経営判断の指標となることが多い。業務効率化などによるコスト削減などの効果が見込めるIT投資と異なり、セキュリティの場合、対策を強化したからといってコスト削減などに貢献するわけではない。

情報漏えいなどのインシデントが発生すれば、セキュリティ対策費を上回る多額のコストがかかることになりかねないのは確かだが、経営層にとっては、「起こるかどうかわからないセキュリティインシデントに余分なコストはかけられない」というのが本音だろう。こうした経営層に対し、セキュリティ予算を獲得するために情報システム部門はどう対応すればよいのだろうか。

まず、「他社はどうなっているのか」と横並びを意識することが多い経営層に対しては、業界、同業他社の動向を調べて提案する方法がある。企業のIT投資・IT戦略などの動向を調べているJUAS（一般社団法人 日本情報システム・ユーザー協会）が公開した「企業IT動向調査2023」が1つの参考になる。

これによれば、2022年度における IT予算全体に占める情報セキュリティ関連費用の割合は、「5％未満」が21.2％、「5～10％未満」が22.0％、「10～15％未満」が26.8％、「15％以上」が30.1％となっており、売上高1,000億円以上といった規模の大きい企業ほどIT予算に占める情報セキュリティ関連費用の割合が上昇していることが見て取れる。

この調査の対象は東証1部上場及びそれに準ずる企業となっており、セキュリティ予算に比較的理解のある経営層も多いと思われるが、経営課題としてのセキュリティ確保の優先順位が比較的高いことを例示しながら、経営層にセキュリティ予算の確保・増額を提案してはどうだろうか。

情報漏えいによる損害額などリスクを具体的に示す

セキュリティ予算獲得の第1ステップとして、自社に内在するセキュリティリスクを明らかにする必要がある。例えば、社内のどこに顧客情報が多く保管されているのか、外部に漏れては困る機密情報がどの部署にあるのか実態を調べて具体的に経営層に示す。きちんと顧客情報保護の対策が取られていることが確認できればそれでいいが、もし、対策が手薄なところがあれば、そこがセキュリティ上の弱点となるリスクもある。

そして、可能であればリスクを具体的に経営者に示すことだ。

例えばセキュリティ対策が脆弱なために顧客情報が流出した場合、損害賠償にどれだけコストがかかるのか試算する方法もある。

参考までに、前述のJNSA インシデント被害調査WGが発表した「インシデント損害額調査レポート2021年版」によれば、個人情報漏えい1人あたりの平均損害賠償額は、2016～ 2018年の3カ年平均で2万8,308円だ。こうした数値を参考にしながら、自社が保有している顧客情報件数×約3万円の損害賠償額＋システムの復旧・強化費用などにいくらかかるか、情報漏えいが発生した場合の被害額を試算することができる。なお、他企業から預かった機密情報を漏えいさせた場合の損害賠償額はさらに膨らみ、数百億円規模の訴訟が起こされた事例もある。

リスクの把握・分析、必要なセキュリティ対策などについては、SIベンダーなどに依頼する方法もある。外部の専門家の視点で社内のセキュリティリスクを洗い出すことにより、経営層の理解を深めることも可能だ。もちろん、SIベンダーに依頼するかどうかも、経営判断となるので情報システム部門はそのコストや効果をあらかじめ調べておく必要がある。

PDCAサイクルで継続的なセキュリティの維持・強化に努める

セキュリティ予算を獲得し、対策を講じた後も期待する効果が表れているのか、追加的な対策が必要かなど、継続的なチェックは必要だ。こうした情報セキュリティの取り組みに役立つのが情報セキュリティマネジメントシステム（ISMS）だ。ISMS認証を取得していない企業も、その考え方はセキュリティの維持・強化に役立てることができる。セキュリティマネジメントシステム（ISMS）だ。ISMS認証を取得していない企業も、その考え方はセキュリティの維持・強化に役立てることができる。

PDCAによるマネジメントもその一例だ。Planでは、情報セキュリティポリシーの策定（見直し）とともに、自社の情報セキュリティの脅威や脆弱性、リスクを見極め、情報資産をどう守り、導入すべきセキュリティ対策を検討・選択する。Doでは、選択した対策の導入・運用、Checkでは、対策の定期的な点検・監査、Actでは対策の見直し・改善する。この PDCAのサイクルを絶えず回すことにより、リスクにも対応できるようになる。

どれだけセキュリティ対策を講じても、「これで万全」とは言えないのも確かだ。だが、万一、情報漏えいが発生した場合に、適切な対策を講じていなければ、被害者や社会に対して説明責任が果たせないだろう、こうした事態を招かないためにも、情報システム部門が中心となり、経営層にセキュリティ対策に対する予算の必要性を訴えていく必要がある。

セキュリティ運用を可視化。PDCAサイクル「C:CHECK」の強化を

セキュリティ対策の定期的な点検として、ランサムウェア感染被害拡大の主な原因であるサーバ設定・運用面の脆弱性可視化レポートを月額で安価に利用できる「Clovernet セキュリティサポート サーバセキュリティ運用見える化サービス」などがある。自社セキュリティリスクに関する客観的な根拠になるレポートを活用して、経営層にセキュリティ対策強化の必要性を理解してもらい、予算獲得のための第一歩として活用していただければと思う。

セキュリティ対策に－お役立ち情報をご覧いただけます

セキュリティリスクを見える化！
感染予防・被害最小化に役立つサーバセキュリティ運用見える化サービス

Active Directory(AD)のセキュリティリスクを見える化

なぜ情報セキュリティポリシーが必要なのか
「情報セキュリティポリシー策定支援サービス」

ランサムウェア対策ガイドブック［2025年版］