サイバー攻撃対策の実情
このように企業が多様な攻撃にさらされている現在、サイバー攻撃対策は必須といえる。しかし、やみくもに投資するのではなく、必要経費として適切な対策に絞ってコストをかけるべきだと渡辺氏は語る。セキュリティ対策は、「投資」または「コスト」のどちらであるか、という議論が交わされることも多い。しかしながら、導入を最終的に判断するのは経営者であるため、経営者を納得させることこそが重要だと渡辺氏は指摘する。
そのためには、提案するセキュリティ対策の費用対効果や、目的・リスクに対するレベル感などをきちんと説明できることが大切だ。適切なセキュリティ対策を実施していなかった結果、サービスの停止や売上機会の損失、ブランドイメージの毀損、信頼低下、上場延期、株価の下落、株主代表訴訟などの影響を受ける可能性がある。
経営者は、セキュリティ対策は「企業の信頼構築」や「ビジネスメリット」にもつながっていくことを自分ごととして認識して意思決定をすべきだとした。
[画像クリックで拡大]
では、実際に企業はどのくらいのセキュリティ投資を行っているのか。渡辺氏は、日本情報システム・ユーザー協会(JUAS)による、売上高に占める業種別のIT予算比率の資料を紹介した。これによると、銀行業界は突出しているが、それでも約10%であり、平均すると2.24%にとどまっている。
また、IT予算としてセキュリティ予算も計上されており、その割合についても見てみると、IT予算に占めるセキュリティ予算の割合は、売上高100億円未満の企業では「5%未満」が14.6%、「15%以上」が43.8%と、15%以上をセキュリティ予算にあてている企業が約半数を占めた。一方、売上高が1兆円以上の企業では、「5%未満」が31.5%、「15%以上」が13.3%となった。
[画像クリックで拡大]
売上高1兆円以上の大企業では、そもそも金額のボリュームが異なるだけでなく、既に多くのセキュリティ対策を導入済みである可能性が高いため、こうした逆転現象が起きているのではないかと渡辺氏は推測する。いずれにしても平均値であるため、あくまでも参考値として捉え、自社のコストや提供サービス、事業におけるITの重要度、データ保有量、優先順位などによる見極めが必要であるという。
続いて渡辺氏は、リスク評価の考え方を示した。そもそも「リスクをゼロにすることは不可能」であることを前提に、考えうるリスクに対して評価を行うべきだとした。まずは、リスクが顕在化したときの被害を想定し、リスクを受容する基準を決める。そして、リスクの受容水準を上回ったものだけにリスク対応を行うというものだ。
たとえば、A社には次の4つのリスクがあると仮定する。
- 不正アクセスによる改ざん
- リモートワークを狙った攻撃
- データベースからの顧客情報の漏えい
- 内部からの企業機密情報の持ち出し
[画像クリックで拡大]
A社が自社Webサイトに個人情報登録フォームを保持している場合は、情報漏えいのリスクが想定される。もし、万が一情報漏えいが発生した場合は業務が停止し、消費者からの評価も下がり、売上に大きな打撃を受けることが予想できる。また、リスク受容水準を超えることが分かったのならば、前述した1と3のリスクに対して備える必要があると考えることができるという。その一方で、A社における社員のリモートワークの割合が30%ほどで、機密情報を扱う業務はオフィス内のみで実施している場合、この点に関してはリスク受容水準を下回るため、2あるいは4への対策は急務でないとも評価できるのだ。
このようにしてリスクを評価し、限られた予算内で有効なセキュリティ対策の優先順位を見極めていくことが大切だという。なお、IPA(情報処理推進機構)などがリスク評価、分析に活用できるツールを提供[※1]しているため、これらのツールを活用することも有効であるとアドバイスをおくる。
[※1] IPA:「情報資産管理台帳」(Excelブック形式ファイル)、「サイバーセキュリティ経営可視化ツール」、「情報セキュリティ診断」
