社内SEとして情報セキュリティに関して強化していくことの重要性を認識しつつも経営層に理解を得られないことが多々あると思います。特にDXをするを印籠に働き方を改善することだけに投資しつつ本来あわせて必要なセキュリティには投資をしない場面に出くわすと思います。
経営層に理解を得られない場合はある程度定量的に現状の会社のセキュリティへの投資額や実際にセキュリティ事故を行わない場合に情報漏洩が起きた際のリスクを説明する必要があります。ここを説明しても必要なセキュリティ投資を行わない場合は経営判断でしょうがないと思いますが、社内SEや情シスとしては経営層がわかるように説明して必要だと訴えることまでは行う必要があります。
セキュリティ投資は経営層に説明して情報漏洩してないから増やさなくてもいいでしょとか言われると辛くてあきらめそうになりますが、、、めげずに説明を根気よくやりましょう
今回は実際にセキュリティ投資を促すために以下説明のポイントで役立つレポートをまとめました。
以下の部分で説明して少しでもセキュリティ投資の妥当性の裏付けになればと思います。
- 他社と比べてIT投資の中でセキュリティ投資の割合が極端に少なくないか
- 情報漏洩をした場合の損害額がどれほどになるか
他社と比べてIT投資の中でセキュリティ投資の割合が極端に少なくないか
企業IT動向調査 ~一般社団法人 日本情報システム・ユーザー協会発行~
企業IT動向調査は「一般社団法人 日本情報システム・ユーザー協会」が毎年発行している各企業のIT投資動向になります。
企業IT動向調査
https://juas.or.jp/library/research_rpt/it_trend/
企業IT動向調査は、企業のIT部門を対象にアンケート調査とインタビュー調査を行い、企業におけるIT投資、IT利用の現状と経年変化を明らかにするとともに、年度ごとに重点テーマを設定し分析を行っております。 本書がIT投資・IT活用の最新トレンドを読み解くための参考となれば幸いです。
一般社団法人 日本情報システム・ユーザー協会
https://juas.or.jp/library/research_rpt/it_trend/
こちらはIT投資全体の中でセキュリティ投資がどういう傾向かを分析しているのでDX投資をする上でセキュリティ投資も増加している(=必要がある)と説明でできるネタがあります。
例えば2021年度版では以下のような内容の項目があり、セキュリティ投資が増額していく際に他社傾向を踏まえて説明しやすいかと思います。
- 今後3年後のセキュリティ投資の他社傾向
→他社が増加傾向にあるか - 売上高別 IT 予算に占める情報セキュリティ関連費用の割合
→自社の売上高でIT予算のセキュリティ投資が少なすぎないか - 業種グループ別 IT 予算に占める情報セキュリティ関連費用の割合
→自社の業種で他社と比べてIT予算のセキュリティ投資が少なすぎないか
上記の他にも「経営層がセキュリティに関心がどらくらいあるか」「セキュリティ防御でどのフェーズに重点対応を今おいているか」等も経営層に伝える際に必要な情報として活用できると思います。
国内情報セキュリティ市場調査報告書 ~日本ネットワークセキュリティ協会発行~
国内情報セキュリティ市場調査報告書は「特定非営利活動法人 日本ネットワークセキュリティ協会」が毎年発行している国内IT市場の動向調査になります。
国内情報セキュリティ市場調査報告書 日本ネットワークセキュリティ協会
https://www.jnsa.org/result/surv_mrk/index.html
※2022年10月現在では2021年度版のみ発行のようです
国内の情報セキュリティ市場規模や売上の推移についての調査報告書。組織のセキュリティ事業の参考となる資料です。
日本ネットワークセキュリティ協会
https://www.jnsa.org/result/index01.html
こちらは国内のセキュリティ市場規模が情報セキュリティツール、情報セキュリティサービスの各ジャンル(エンドポイント、ネットワーク防御、マネージド運用サービス等々)でそれぞれ市場規模が増加しているかを把握することができます。市場規模が大きくなっているということは他社が導入し始めているという参考になるかと思います。
情報漏洩をした場合の損害額がどれほどになるか
インシデント損害額調査レポート ~日本ネットワークセキュリティ協会発行~
インシデント損害額調査レポートは「特定非営利活動法人 日本ネットワークセキュリティ協会」が発行している国内でのセキュリティインシデントの具体的対応とインシデントに関わる費用を詳細にまとめた資料になります。
インシデント損害額調査レポート 日本ネットワークセキュリティ協会
https://www.jnsa.org/result/incidentdamage/index.html
サイバー攻撃などのインシデントが発生すると一体いくらかかるのか?
日本ネットワークセキュリティ協会
インシデント発生時における各種対応内容、アウトソーシング先、およびそのコスト(損害額・損失額)を分かりやすく取りまとめた調査報告書です。
https://www.jnsa.org/result/index01.html
こちらは国内の様々なインシデントが起きた際に実際にどう対応するかとそのコストがまとまっている調査報告書になります。
とにかく全てが詳細で現場で行われるインシデント対応コストがまとまっています。例えば情報漏洩が起きた際の「お詫びのダイレクトメッセージ費用目安」や「ダークウェブに漏洩した情報があるか調査する費用」等記載されています。
またモデルケース例でランサムウェア被害にあった際にどのようなコストがかかるかなども記載されていますのでセキュリティ対策でランサムウェア対策強化のための投資等では投資をしなかった場合にリスクとして説明しやすいかと思います。
本資料は抜粋して見せるだけで経営層にセキュリティの重要性の理解が得やすいと思います。インシデントが起きた際のコストや信用が失われるなど経営層が見たらセキュリティを強化したくなる資料としては適していると思います。
情報セキュリティへの投資を経営層に促す際に役立つ書籍
情報セキュリティついてガイドライン、チェックシート等では固くとっかかりにくいという方や実際の体験談や事例を知りたい等方は以下の書籍もお勧めです。私自身ガイドラインだけではなかなか具体的な事例や情報セキュリティの重要性を人に説明する際に以下書籍を読んで理解を深めました。
また経営層の方は特にガイドラインより本を読む方が多いかと思いますのでそういった面でもお勧めです。
「CISOハンドブック」はまさに現在情報セキュリティはCISO(Chief Information Security Officer)の役職ができ、経営層として取り組む必要があって作成された資料かと思います。経営層の方に直接読んでもらうよりかは情報システム部門のセキュリティ担当の方が経営観点を学んでCISOを目指しすために必要な知識を付けていくものになります。裏を返すと経営層や事業リスクを理解し、経営層に情報セキュリティをへの投資を促す説得をするための知識を得れる書籍だと思います。
「すべてわかるゼロトラスト大全」は日経BPムックの本でゼロトラストセキュリティに関する周辺技術解説と実際のゼロトラストセキュリティを構築した事例が掲載されています。この書籍自体が情報システム部門として読むべきというより経営層の方はバズワードを交えて説明すると投資しやすい面も少なからずあるかと思います。ゼロトラストセキュリティというのはバズワードでもありますので投資説得の際にとても使えるワードだと思います。また他社事例も掲載されていますので引用してセキュリティ投資自社でもしましょうと説得もしやすいかと思います。
まとめ
セキュリティ投資を経営層に理解してもらうのはとても社内SEとして骨が折れる作業で最初からあきらめたくなるほど大変かと思います。
ただある他社の動向やセキュリティ投資が自社と比較してどのようになっているかを説明できれば理解も得らえるきっかけになるかと思います。
特にインシデントが起きた際のコストや信用のリスクは下手すれば会社がつぶれるほどのインパクトがあると思います。こちらを理解していただくために本記事が少しでも参考になればと思います。
またセキュリティ関連記事として以下も記載していますので興味がある方は参考にしていただければと思います。
