セキュリティ担当者が経営陣を説得するための方法とIPAのツールの活用
情報セキュリティの重要性と予算確保
現代社会において、情報セキュリティはますます重要性を増しています。これは、DX(デジタルトランスフォーメーション)の推進やテレワークの普及に伴い、インターネットを介した個人情報や企業の機密情報の共有が増えたこと、また、ランサムウェアなどのサイバー攻撃の巧妙化や転職市場の拡大に伴う持ち出し増加など、データ漏えいのリスクが高まっていることが原因として挙げられます。
しかし、情報セキュリティに対する対策は費用がかかります。そのため、企業や組織がセキュリティ予算を確保することは非常に重要ですが、同時に非常に困難な課題でもあります。セキュリティ予算を確保するためには、まず経営陣がセキュリティに対して十分な認識を持つ必要があります。経営陣がセキュリティの重要性を理解し、企業戦略としてセキュリティに対する投資等をどの程度行うかを決めていかなくてはなりません。しかし、セキュリティ対策の効果は直接的に見えづらく、投資に対するリターンが不明瞭であることから、中々理解を得られない現実があります。
そのため、各企業のセキュリティ担当者は、セキュリティ予算を適切に配分するために経営層を説得する必要があります。必要な対策を評価し、初期費用と継続的な運用費用を含めた正確なコスト見積もりが必要です。また、投資によるリターンを計算して経営陣に説明することで、セキュリティ投資に対する納得を得て予算を確保することができます。
セキュリティ関連費用を可視化を助けるツール「NANBOK」
こうした予算確保に苦労しているセキュリティ担当者のために、今年1月、情報処理推進機構(以下IPA)はセキュリティ関連費用の可視化を手助けするツールとして「NANBOK」を公開しました。※1 このツールは、セキュリティインシデントが発生した場合の想定損害額を試算することができるため、セキュリティ対策に費用を投じる必要性や、経営層への説得材料として活用することができます。
使用方法としては、まず自社が想定するセキュリティ脅威と自社が属する業界を選択します。選択できるセキュリティ脅威は、「情報セキュリティ10大脅威 2022※2」として挙げられているもの(「ランサムウェアによる被害」等)から選択します。次に、シートに記された質問に回答する形で、自社の情報を入力していきます。例えば、従業員数やインシデントの初動対応を自社で行うことが可能か等です。必要事項を記入し実行すると、想定損害額の合計金額が算出されます。
さらに、選択した脅威に対する対策や、必要となるセキュリティ製品やサービスなども紹介され、企業が適切なセキュリティ対策を実施するための手助けをしてくれます。このツールを利用することで、セキュリティ担当者は必要な予算の確保についての説明をしやすくなります。
実際に本ツールを使ってみての感想ですが、試算された損害額には、金額として提示するのが難しい項目(例えば、事案による金額の変動が大きく、一位の金額を定めるのが困難なもの等)が含まれておらず、実際に発生する損害額とは乖離があると感じました。このツールを利用した説得には、さらに追加の金額が発生する可能性があることや、金額に反映されない損害(例えば、ブランドイメージの損失や株価への影響など)についても説明すると、より効果的にセキュリティ導入の必要性を訴えることができるかもしれません。また脅威への対策については、攻撃者の行動パターンから各攻撃フェーズ毎の対策、対応するソリューション・サービスについて詳しく記されており、非常に有用性のある内容でした。
なお、弊社が提供するサービスのひとつであるIRM(Information Rights Management)は「共有サーバー等へのアクセス権の最小化と管理の強化」による対策に関連するプロダクトとして紹介されています。「標的型攻撃による情報窃取」や「内部不正による情報漏えい」などの脅威において、重要情報の窃取・持ち出しに効果的であるとご紹介いただいています。
適切なコストをかけ、有効性の高いセキュリティ対策を
セキュリティ対策を導入する上で、コスト削減も重要な課題の1つです。まず、獲得した予算を有効に活用するために、セキュリティ対策の優先順位を設定し、必要な対策に集中することが必要です。また、社内教育やセキュリティ意識向上の取り組みによって、セキュリティ問題を未然に防ぐことができ、コスト削減にもつながります。
ただし、セキュリティ対策において過度にコスト削減に重点を置くと、有効性の低いセキュリティ製品を導入してしまい、情報窃取のリスクが残る可能性があります。このような事態を避けるためには、自社に必要なセキュリティ対策を適切に選択することが重要です。
また昨年4月には個人情報保護法の全面施行がされるなど、セキュリティに関する法規制が強化されるなか、セキュリティ予算を確保することは企業の信頼性を高めるためにも必要です。セキュリティに関する法規制に適合することで、企業や組織は信頼性の高いビジネスパートナーや顧客を獲得することができます。
情報セキュリティは、現代社会においてますます重要性を増しています。企業や組織がセキュリティ予算を確保し、適切な対策を取ることで、セキュリティリスクを低減し、信頼性の高いビジネスを展開することができます。