プロダクトマネージャーあれこれ

PJMではなくPDMのPMです!

情報セキュリティ予算は単なるコストか

情報セキュリティとして、DDoS攻撃対策などのサイバー攻撃対策をすることは非常に重要ですよね!

プロダクトマネージャーをやっていると、大事なのは分かるけど新サービス立ち上げでは予算が少ないし、そもそも収益に寄与する訳ではないということで、正直あまりコストをかけたくないと考えてしまいます。

ただ、一度攻撃をされると企業ブランド毀損や対応費用などかなりのダメージが予想されます。

ただし、経営層がこの危機感を把握している訳ではない企業もあり、決裁を取るのが難しい状況もあると思います。

そんな企業が多いのか、アカマイ社とカスペルスキー社は被害想定の費用やセキュリティ予算の算出を手助けするツールを用意していたりしますので、そのご紹介をします。

1. 日本のIT業界における情報予算の現状

IT系ではない業種における情報セキュリティ予算は単なるコストという考え方が一般的かと思います。

そもそも、情報セキュリティ予算なんて括りなんてない企業が多いのではないでしょうか。

また、情報システム予算の計上課目の中でも、開発費・構築費ではなく、保守費として計上していたりするのが多いかなと感じてます。

そのため、情報セキュリティ予算は保守費に計上するため、よりコストとして見えやすいのが実態かと思っています。

その企業の情報システム部が経営層に対して、セキュリティリスクは経営リスクなんですと言っても、恐らく予算取りが難しい状況ですよね。

セキュリティを高めることによって売上が上がれば経営層も判断しやすいのですが、売上には直結しない保険のようなものという捉え方が経営層には多いと考えています。

今回は、少し前にロシアのセキュリティ企業であるカスペルスキー社が、公開データを基に情報セキュリティ予算の現状と予算獲得について記事化していましたので、その内容をご紹介します。

その前に、アカマイ社が提供しているサイバー攻撃によるコスト算出ツールもご紹介します!

2. アカマイ社が用意しているサイバー攻撃による被害額算出ツール

アカマイ社といったら、DDoS攻撃対策として世界一を誇る企業です。 そんな企業が提供しているサイバー攻撃がもたらすコスト算出ツールが以下より算出できます。 https://www.akamai.com/jp/ja/products/security/calculate-the-cost-of-ddos-attacks.jsp

3. 日本と世界のネットへの意識調査結果(カスペルスキー社記事より)

日本の人口が減少する従い、売上を保つだけでも難しい昨今となっています。

そこで、企業が考えるのはグローバル展開です。

グローバルと日本におけるネットへの意識の調査結果は 日本は最下位となっています。

この調査では ネットの調査ではあるもののセキュリティ的な視点の調査結果となっています。

例えば、フィッシングメールに対する処理の選択肢という項目もあります。 ちなみに件名は 「未払いの罰金に関する情報」です -メールを削除する -ファイルを開く前にウイルスがどうかチェックする -ファイルをダウンロードして開く -メールを経理担当に転送する

どのような選択を取りますでしょうか? 恐らく、このページを見ている人は、少なくとも引っかかる人はいないかと思いますが、若年層において引っかかる人が多いという結果になっています。

この結果では、新入社員は右も左も分からず、担当っぽい部署に転送しているのかもしれません。

そのため、新入社員研修でセキュリティ研修を徹底すべきであることは明白かと思います。

参考記事 https://media.kaspersky.com/jp/Kaspersky_CyberSavvy-PR-1017.pdf

この記事自体は2015年のもので少し古いのですが 技術大国と誤解している人が多いのですが 少なくともITの世界では日本は遅れています。

その影響もあってか、カスペルスキーの公開データは日本が最下位という結果になっています。

この結果から言えるのは グローバル展開した際に、日本のスタンダードで考えてしまうと 世界のセキュリティのスタンダードとは開きが出てしまうということです。

4. 日本企業のセキュリティ予算の捉え方(カスペルスキー社記事より)

これは2016年度と2017年度における日本企業のセキュリティ予算の捉え方に関する調査結果です。

日本も年々、セキュリティの重要さに気づき始めているという調査結果が出ています。

日本企業の情報セキュリティ予算の捉え方〜コストセンターか戦略的投資か〜 https://media.kaspersky.com/jp/pdf/pr/Kaspersky_ITSecRisk2017-Economics-PR-1042.pdf

年々、セキュリティインシデント発生時のコストが増えていることが特徴としてあります。

これは、復旧・調査・解析だけではなく、報道発表・緊急対応コールセンターの設置・対応策の実施・ブランド回復コンサル料など多岐にわたる費用が発生するためです。

特に、大企業においては、自身の企業内で起こるインシデントだけではなく、サードパーティ(第三者)によって引き起こされるインシデントによって費用がかさむという結果となっています。

サードパーティには、グループ企業や下請け企業、業務委託企業、クラウド事業者などが含まれると想定しています。

そのため、契約する前にはサードパーティと秘密保持契約、セキュリティチェック、監査なども必要になってきている現状がありますよね。

また、2017年度において意識が大幅に変わった点があります。

それは、ステークホルダーからの要求によってセキュリティ予算を増額した企業が増えた点です。

ステークホルダーとは 顧客や株主が含まれています。

-顧客からは安全にデータを預けられること -株主からは事業継続性を保証すること

を訴えることが目的とのことです。

つまり、情報セキュリティ予算は戦略的投資であるという捉え方が増えてきていることを示す内容となっています。

5. 競合他社のセキュリティ予算額は?(カスペルスキー社記事より)

カスペルスキー社の凄いところは このようなデータを公開するだけではなく、調査結果から自社のセキュリティ予算は競合他社と比較して十分なのかを簡単にチェックできるツールを公開している点にあります。

Kaspersky IT Security Calculator https://calculator.kaspersky.com/en/

-地域 -業種 -従業員数 -自社のセキュリティ予算額 ※自社のセキュリティ予算額は入力しなくても出力されます

このようなツールを用いて セキュリティ予算を獲得するときには 同業他社がどの程度予算を割いていて 自社がセキュリティにいかに予算を割いていないかという数字での訴えができます。

6. セキュリティ予算獲得方法のまとめ

-自社で利用しているセキュリティ商材を知る -自社のセキュリティ予算を知る -同業他社で利用しているセキュリティ商材を知る -同業他社のセキュリティ予算を知る

日本の経営層は、絶対評価ではなく相対評価が好きなので、こういった同業他社との比較は重要になります。

世論も同じように しっかり対策していて発生したインシデントはあまり騒ぎ立てませんが そんなセキュリティ対策もしていないの?というのが原因で発生したインシデントには厳しいですよね。

カスペルスキー社のデータを使うことで、情報セキュリティ予算の獲得を目指すという内容でした。