コスト意識から投資意識へ～セキュリティ対策に関わる費用と効果～

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。

本記事では、セキュリティ対策に関わる費用とその効果について、データを交えながら包括的に考察します。

１．中小企業のセキュリティ対策の現状

独立行政法人情報処理推進機構（IPA）が中小企業を対象に行った「中小企業における情報セキュリティ対策の実態調査」によると、多くの中小企業がセキュリティ対策にあまり投資していない実態が明らかになっています。

直近過去3期の情報セキュリティ対策投資額について「100万円未満」の割合が約半数を占める一方で、33.1%の企業は全く「投資していない」と回答しています。

情報セキュリティ対策投資を行わなかった理由として、企業規模に関わらず「必要性を感じていない」という回答が最も多く、特に小規模企業や中小企業（100人以下）においてその割合が高くなっています。

「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について より
（https://www.ipa.go.jp/security/reports/sme/about.html）

しかし、警察庁の資料「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、近年増加しているランサムウェアの被害は中小企業が最も多く、被害件数114件中73件（64%）を占めています。

さらに、復旧に要した費用は「1,000万円以上5,000万円未満」が最も多い（28%）という結果でした。

「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」資料編より
（https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf）

これらのデータから、中小企業では情報セキュリティ事故が多発しており、対策に費用をかけなければ多額の損失が発生するリスクがあることが分かります。

「わが社では情報セキュリティ事故は起きないから、コストをかける必要はない」という意識のままでは危険です。

２．セキュリティ対策の費用対効果

一般的に費用対効果とは、ビジネスやプロジェクトの実施に伴う費用と得られる効果や利益を比較評価することです。

中小企業の多くが情報セキュリティ対策投資に「必要性を感じていない」のは、得られる効果が目に見えにくく、経済的利益が感じられないからでしょう。

ところで、自動車の任意保険に加入する理由を考えてみてください。自動車保険の加入率は、毎年増加を続け、現在では対人賠償の普及率は90%弱あるそうです。

加入が義務付けられている自賠責保険だけでなく、毎年保険料を支払って、目に見える効果も経済的利益もない自動車保険に大半の人が加入するのはなぜでしょうか？

答えは明白で、万が一事故を起こした場合、自賠責保険や個人の資産だけでは負担しきれないほどの賠償責任を負うリスクがあることを、誰もが理解できるからです。

交通事故は表面化するため、事故を起こした時の負担を容易に想定することができます。

しかし、情報セキュリティ事故は必ずしも表面化するとは限らず、事故が起きた、あるいは知らないうちに起きていたときの損害や負担を想定することが難しい側面があります。

このため「対策は必要ない」という意識につながりやすいのです。

そこで、セキュリティ対策の費用対効果を評価するには、予期せぬ事故による損害を金額に換算し、財務上どの程度の影響があるかを明確にします。

セキュリティ対策の費用は、企業の支払能力を超える負担を避けるためのものであり、それ自体が効果的であると考えるべきです。

３．セキュリティ事故の損害額の試算

IPAが提供する便利なツールに「NANBOK」があります。

『企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらう』ために開発されたツールで、ランサムウェア被害が発生した際の損害額を簡単に試算することができます。

サイバー攻撃のリスクを被害想定金額で表現できるため、より具体的な説明が可能です。経営陣への対策費用の根拠や必要性の説明に苦慮している方は、是非活用してください。

参考：IPA「セキュリティ関連費用の可視化」
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/visualization-costs.html

４．優先的・重点的に対策が必要な情報資産の把握

セキュリティ対策は、組織にとって価値があり重要な「情報資産」を脅威から守るために行います。

「情報資産」は業種や事業によって様々です。そのため、全ての情報資産に対策を講じると無制限に費用がかかってしまいます。

そこで、優先的・重点的に対策が必要な情報資産を把握するために、「情報資産の洗い出し」を行います。以下にその手順をご紹介します。

なお、情報資産の洗い出しには次のIPA資料を使用します。（無償でダウンロード可能）

・中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html

・リスク分析シート
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055518.xlsx

今回は、作業手順の一部をご紹介しますが、「リスク分析シート」の最初のシート(利用方法タブ)に作業手順の詳細が記載されています。皆さんの会社で活用される際は、まずはこちらのシートをご確認ください。

また、当事業のセキュリティセミナーでもリスク分析について解説しています。

こちらの動画も是非ご覧ください。

・第4回セミナー「効果的なリスク分析方法」

【情報資産の洗い出し手順】

　※今回は、「リスク分析シート」作業手順の⑧をご紹介します。

（１）情報資産管理台帳の作成

リスク分析シートの「情報資産管理台帳」の重要度欄（M列）を使用します。

日頃どのような電子データや書類を利用して業務を行っているかを考えて洗い出すと、作成しやすくなります。

（２）情報資産ごとの機密性・完全性・可用性の評価

機密性、完全性、可用性が損なわれた場合の事業への影響や、法律で安全管理が義務づけられているなど、【表1】の評価基準を参考に評価値３～１を記入します。

情報セキュリティの3要素「機密性」「完全性」「可用性」については、こちらの記事でも詳しく解説しています。こちらもあわせてご覧ください。
https://follow-up.metro.tokyo.lg.jp/glossary/yogokaisetu5/

【表1】情報資産の機密性・完全性・可用性に基づく重要度の定義

引用元：IPA リスク分析シート
【表12】情報資産の機密性・完全性・可用性に基づく重要度の定義 (一部変更) 

^※限定提供データとは、不正競争防止法で次のように定義されています。

「第二条…７…この法律において「限定提供データ」とは、業として特定の者に提供する情報として電磁的方法（電子的方法、磁気的方法その他人の知覚によっては認識することができない方法をいう。次項において同じ。）により相当量蓄積され、及び管理されている技術上又は営業上の情報（秘密として管理されているものを除く。）をいう。」

引用元：IPA リスク分析シート
【表12】情報資産の機密性・完全性・可用性に基づく重要度の定義

（３）情報資産の重要度評価

「情報資産管理台帳」に情報資産ごとの機密性・完全性・可用性の評価値を記入すると、【表2】の基準に従って「重要度」欄に重要度３～１が自動で表示されます。ここで重要度の値が大きい情報資産が、優先的・重点的に対策が必要な情報資産です。この重要情報資産が漏えいや改ざん、あるいは利用できなかった場合に、被害が大きくなる可能性があります。重要度が高い情報資産に対して、セキュリティ対策の費用を投じることがで、リスクを最小限に留められる可能性が高まります。

【表2】情報資産の重要度判断基準

５．セキュリティ対策は未来への投資

情報セキュリティ対策に関わる費用を単なる支出としてではなく、企業の長期的な安定と成長を支える重要な投資と捉えることが必要です。投資によって得られる効果を定量評価し事業への影響を把握することで、組織の実態に見合った対策を講じることができます。そして、将来的な大規模損害を回避し、企業の信頼性と安全性を高めることが可能になるのです。

次回は、セキュリティ関連サービスの導入について解説します。