SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2021レポート(AD)

情報漏えいの損害額はいくらになる? 経営者を納得させるためのセキュリティ対策費用の考え方

サイバーセキュリティクラウド 代表取締役CTO 渡辺洋司氏が示す「情報漏えい」対策

サイバー攻撃対策の実情

 このように企業が多様な攻撃にさらされている現在、サイバー攻撃対策は必須といえる。しかし、やみくもに投資するのではなく、必要経費として適切な対策に絞ってコストをかけるべきだと渡辺氏は語る。セキュリティ対策は、「投資」または「コスト」のどちらであるか、という議論が交わされることも多い。しかしながら、導入を最終的に判断するのは経営者であるため、経営者を納得させることこそが重要だと渡辺氏は指摘する。

 そのためには、提案するセキュリティ対策の費用対効果や、目的・リスクに対するレベル感などをきちんと説明できることが大切だ。適切なセキュリティ対策を実施していなかった結果、サービスの停止や売上機会の損失、ブランドイメージの毀損、信頼低下、上場延期、株価の下落、株主代表訴訟などの影響を受ける可能性がある。

 経営者は、セキュリティ対策は「企業の信頼構築」や「ビジネスメリット」にもつながっていくことを自分ごととして認識して意思決定をすべきだとした。

サイバーセキュリティは「ビジネスメリット」になる
サイバーセキュリティは「ビジネスメリット」になる
[画像クリックで拡大]

 では、実際に企業はどのくらいのセキュリティ投資を行っているのか。渡辺氏は、日本情報システム・ユーザー協会(JUAS)による、売上高に占める業種別のIT予算比率の資料を紹介した。これによると、銀行業界は突出しているが、それでも約10%であり、平均すると2.24%にとどまっている。

 また、IT予算としてセキュリティ予算も計上されており、その割合についても見てみると、IT予算に占めるセキュリティ予算の割合は、売上高100億円未満の企業では「5%未満」が14.6%、「15%以上」が43.8%と、15%以上をセキュリティ予算にあてている企業が約半数を占めた。一方、売上高が1兆円以上の企業では、「5%未満」が31.5%、「15%以上」が13.3%となった。

IT予算に占めるセキュリティ予算割合
IT予算に占めるセキュリティ予算割合
[画像クリックで拡大]

 売上高1兆円以上の大企業では、そもそも金額のボリュームが異なるだけでなく、既に多くのセキュリティ対策を導入済みである可能性が高いため、こうした逆転現象が起きているのではないかと渡辺氏は推測する。いずれにしても平均値であるため、あくまでも参考値として捉え、自社のコストや提供サービス、事業におけるITの重要度、データ保有量、優先順位などによる見極めが必要であるという。

 続いて渡辺氏は、リスク評価の考え方を示した。そもそも「リスクをゼロにすることは不可能」であることを前提に、考えうるリスクに対して評価を行うべきだとした。まずは、リスクが顕在化したときの被害を想定し、リスクを受容する基準を決める。そして、リスクの受容水準を上回ったものだけにリスク対応を行うというものだ。

 たとえば、A社には次の4つのリスクがあると仮定する。

  1. 不正アクセスによる改ざん
  2. リモートワークを狙った攻撃
  3. データベースからの顧客情報の漏えい
  4. 内部からの企業機密情報の持ち出し
リスク評価に基づき対処の優先度を決める
リスク評価に基づき対処の優先度を決める
[画像クリックで拡大]

 A社が自社Webサイトに個人情報登録フォームを保持している場合は、情報漏えいのリスクが想定される。もし、万が一情報漏えいが発生した場合は業務が停止し、消費者からの評価も下がり、売上に大きな打撃を受けることが予想できる。また、リスク受容水準を超えることが分かったのならば、前述した1と3のリスクに対して備える必要があると考えることができるという。その一方で、A社における社員のリモートワークの割合が30%ほどで、機密情報を扱う業務はオフィス内のみで実施している場合、この点に関してはリスク受容水準を下回るため、2あるいは4への対策は急務でないとも評価できるのだ

 このようにしてリスクを評価し、限られた予算内で有効なセキュリティ対策の優先順位を見極めていくことが大切だという。なお、IPA(情報処理推進機構)などがリスク評価、分析に活用できるツールを提供[※1]しているため、これらのツールを活用することも有効であるとアドバイスをおくる。

 [※1] IPA:「情報資産管理台帳」(Excelブック形式ファイル)、「サイバーセキュリティ経営可視化ツール」、「情報セキュリティ診断

次のページ
情報漏えい被害が発生すると、損害額はどのくらいになるのか

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2021レポート連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15009 2021/10/18 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング