標的は中小企業に移行か……「1円も投資していない」30％超の企業に訴える、まずは“ゼロ円対策”から

「いくらで何ができる？」予算別セキュリティ対策チャート

　清水氏はひとり情シス協会が実施した「日米デジタルエンゲル係数比較調査」で判明した、セキュリティ対策費用の日米比較データを示した。日本の中小企業のセキュリティ投資額は1人あたり年間2,650円。米国は2万4700円で、実に約10倍の差がある。さらに憂慮すべきは、日本企業の35.2％が「1円も投資していない」という事実だ。米国で最も多いのは2万5000円～3万円の価格帯である。

　経営者から「いくら投資すればいいんですか」と質問されることは多いそうで、ひとり情シス協会では最低でも年間2万円は必要だと説明している。その上で、専門用語など難しい話になると経営層が敬遠してしまうケースが多いため、清水氏は“セキュリティ戦国時代”という理解しやすい例えを用いて、予算に応じた対策を解説した。

　具体的には、1人あたり2,000円であれば、EPP（エンドポイント保護）を導入できるが、関所で人相書きを貼るレベルで、少し変装すれば簡単に通過できてしまう程度の防御力だという。4,000円でNGAV（次世代アンチウイルス）に変更することで、挙動不審者を関所で除外できる。8,000円でUTM（統合脅威管理）を追加すれば、関所だけでなく国境全体を城主直轄の直臣が警護するイメージで、境界防御が強化されていく。そして1万8000円でEDR（エンドポイント検知・対応）を導入すれば、領内に隠密を配置してプロアクティブに対処できる体制が整うといった具合だ。

　また、日本企業の35.2％が1円も投資していない現実を踏まえ、「お金をかけることができないのであれば、“ゼロ円対策”はしっかりやったほうがいい」と清水氏は提言する。武田信玄の名言「人は城、人は石垣、人は堀」を引用し、お金をかけなくても人の意識を高めることでセキュリティを強化できると説明。OSやルーターの自動更新の有効化、パスワード強化など基本的なことから始めてみると「手動でやっていると大変になってくるので、自然とツールの必要性を実感するようになる」と話す。

米国企業の積極投資の背景にある、厳格なセキュリティ規制

　日米は投資額だけでなく、基本的な対策への取り組み方にも大きな違いがある。米国FTC（連邦取引委員会）のガイドラインでは、3ヵ月に1度の社内セキュリティトレーニングが必須とされ、受講しない社員のアカウントはロックせよと明記されているのだ。

　そのため外資系企業で働いている人は、定期的に長時間のセキュリティテストを受けさせられるという。一方で、日本企業ではユーザーが「客先でPCがすぐ開かないからセキュリティソフトを外してくれ」と情シスに詰め寄ることさえある。セキュリティより利便性を優先する文化の違いが鮮明だとした。

　データ漏洩時の対応にも差がある。米国ではFTCへの報告遅延があると、1日あたり4万3280ドル（約600万円）のペナルティが課されるという。日本にはそうしたペナルティ規定がないため、「これは本当に事故なのか」「報告する必要があるのか」など迷っているうちに対応が遅れてしまうケースもある。清水氏は「ペナルティがないからやらなくていいということではない」と強調した。

　情シスが権威を持って社員に徹底させる環境を作らなければ、「いくらお金をかけてもセキュリティは守れない」と警鐘を鳴らす。