セキュリティ事故を防ぐ・顧客の信用を守るといった目的のために、セキュリティに投資することは経営の重要課題として行われています。
一方で、上層部に支出の説得をしたい、と思う場合、どのように説明したらよいか悩みを抱える担当者も多いと聞きます。
どこまでの費用をかけるべきかは、各会社でも明確な目安が持ちにくい面があります。
一方、近年発生している事故による規模や、財産的な損害が非常に大きくなっており、クリアな計算が立たない事態も多いことから考えると事故を防止するための費用は合理的であると考えられます。
この点をどのように説明したら適切と考えられるでしょうか。
費用をかけてセキュリティに取り組むことの合理性をどのように説明するか、費用対効果についての説明方法について、ここで解説します。
また、企業のセキュリティ対策で策定・運用がマストな情報セキュリティポリシーの運用・策定のポイントまとめ資料を無料で配布しています。ぜひご活用ください。
次々と発生するセキュリティ事件
セキュリティに関する事件は毎日のように発生しています。
サイバー攻撃も頻繁に起きており、東京オリンピック期間中に、大会運営にかかわるシステムやネットワークへのサイバー攻撃は何と合計4億回といわれています。
ランサムウェアの攻撃により、サービス業の大手がシステムを停止せざるを得ない事態に追い込まれたことも今でも記憶に新しいことでしょう。
オンライン決済システムへの大規模不正アクセス・転職サイトで個人情報を狙ったパスワードリスト型攻撃も大きな脅威でした。
セキュリティの費用対効果は計算できるか
経営層からはセキュリティ施策に対する費用対効果は必ず問われます。
明確・一律に、財産的損害を計算することはできず、事故の規模もそれぞれに異なるので、費用対効果は説明しにくい面があります。
しかし、実際にどんな費用がかかるのかを具体的に見ていくと、セキュリティ事故1件当たりの被害回復全体にかかる費用は、億単位になるようなケースも少なくありません。
費用の支出に加え、事故を発生させた会社のITインフラにもダメ―ジがあるケースも考えられます。
そこで、以下ではセキュリティにかけるコストが妥当なものか考えるため、万が一の事故においてどんな費用がかかる可能性があるのか説明します。
原因究明費用
セキュリティ事故が発生すると、原因究明を行うための費用を支出することが必要です。
最近のサイバー攻撃などは遠隔操作ができるため深く、長く潜伏するマルウェアのために、解析を長期間に渡って行わないと原因の究明ができないケースもありますが、人件費・専門家費用は時に数千万円の単位となることさえあります。
発表・広報費用
事故の悪影響を広げないため、また、社会的な影響をコントロールするため、事故の後に報道発表や、謝罪広告・広報の費用・ダイレクトメールの発信費用などが掛かることがあるでしょう。
消費者・取引先の問い合わせに答えるためのヘルプデスク・カスタマーセンターなどの対応が必要になる可能性もあります。
被害を受けた方への損害賠償
クレジットカードの不正利用や、知られたくない事実の暴露などの精神的損害があった場合、被害を受けた方に対して、損害賠償を支払うケースがあります。
損害賠償ではなく、見舞金を一律に支払うなどの対応も見られます。
過去の裁判例などを考えると、一軒当たりでは数百円から数万円の費用がかかる可能性がありますが、情報漏えいが数万件~数十万件にも及ぶものともなれば、費用の負担は大変重いものとなるでしょう。
セキュリティ事故に対する対策費用
加えて、事故の再発防止策のために、対策費用をかける必要があります。ソフトウェア・ハードウェアの更新・新規導入に加え、人件費も上乗せするケースも考えられます。
セキュリティに対する費用の支出は、上記の通り多岐にわたるこれらのコストを発生させないようにするためのものと説明することが可能です。
セキュリティ対策の費用とは
セキュリティ事故の対策費用・被害回復費用に対し、セキュリティ対策には次のような項目に関する費用がかかってくることが考えられます。
- 人的・組織的対策
- セキュリティポリシー・社内規定やマニュアル、社員の教育訓練費・アクセス権の管理にかかる費用などがあります。また、セキュリティ部署など管理組織の設置・情報資産の持ち出しとその制限に関する管理・事業継続管理にかかる費用も必要です。これらの費用の大半は、人件費と考えられます。
- 物理的対策
- コンピューターや通信装置の保護のためにかかる費用・施錠管理や管理区域設定のための費用・クリアデスク、クリアスクリーンの対策費用などが考えられます。施設費・備品購入費が主な費用です。
- 技術的対策
- 本人認証・アクセス制御/権限管理・ウイルス対策・脆弱性対策・暗号技術・ファイアウォールやコンテンツフィルターなど、ソフトウェア・ハードウェアの購入・維持のための費用がかかります。
セキュリティのコストは投資と考えるべき
ところで、セキュリティ対策費用は、事故や損害との「見合い」で考えると、できるだけ安い費用で済ませるにはどうしたらよいか、という発想に陥りがちです。
しかし、実際には事業活動に必要な体制=セキュリティ体制を十分に備えることと、効果的に事故や損害を抑えるにはどのようにコストを配分するか、という2つの課題がセキュリティ対策費用を考える上では重要です。
個人情報を取り扱う企業において、個人情報保護法のコンプライアンス体制をつくるのに必要な投資は、収益体制を作り、維持するための最低限の投資といえるでしょう。
また、ISMSに費用を使い、入札条件を整えておくことも、公共案件の受注のための投資です。
これらの投資は当然の投資と考えて、さらに業容に応じてどれくらいの事故防止のために有効・妥当な費用として効率的かどうか、さらに考えるほうが現在の経営環境にはあっているものと考えられます。
また、事故防止のための費用をコストと考えてしまうと安くなる方向に考えてしまいがちです。コストと考えることそのものにも問題があるのです。
もしも事故対策のために「コストを安くあげた」となると後ろめたさから、セキュリティ事故がおこっても隠蔽の方向に流れてしまう事も考えられますが、これだと発覚した際には大きく報道され、企業の信用にダメージが生じるでしょう。
コストと考えずに、投資と考えると「安ければよい」などとは言えないはずです。
情報セキュリティ体制を整えるための費用は、「コスト」から事業活動の基盤を作るのに必要な投資・企業の信用に対する投資、と発想を転換して対応することが現代の企業経営では求められています。
情報セキュリティポリシーは、そうした情報セキュリティ対策を効果的に進めるための全体の道しるべとなります。 弊社の策定・運用ポイントまとめ資料を参考に作成してみてください。
まとめ
セキュリティ体制の整備を行い、セキュリティ事故を予防することは損害の発生を抑えるため、というよりは、事業活動を行う上での必要な投資です。
サイバー攻撃も多数発生するなか、セキュリティ体制を客観的に十分といえる程度に整えることが求められる事業投資、と考えられます。
このように、必要な投資と発想を変えてみると「安く済ませることがよいこと」との発想は、合理性を持たないことと理解できます。
このように、必要な投資と発想を変えてみると「安く済ませることがよいこと」との発想は、合理性を持たないことと理解できます。