編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード
ビジネス視点で分かるサイバーのリスクとセキュリティ

サイバーセキュリティはコストか、投資か?

染谷征良 (パロアルトネットワークス)

2021-02-22 07:00

 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 「サイバーセキュリティはコストではなく投資」と言われるようになった。デジタル化するビジネスにおいて、サイバーセキュリティは「企業の信頼構築」「ビジネスメリット」につながるとうたわれている。今回は、セキュリティ対策やインシデント発生時の金銭的・数字的な投資や負担、損失の観点で、企業はサイバーセキュリティにどのように向き合うことができるのかを考えたい。

 営業やマーケティングのような利益を生み出すプロフィットセンターと異なり、セキュリティやITの部門はコストセンターと位置付けられ、一般的には「利益を生み出さないサイバーセキュリティはコスト」と考えられることが多い。コストセンターで発生する費用は、利益を高めるために最小限に抑えることが求められており、セキュリティ対策の費用の抑制が求められるのも理屈としては当然だ。

 筆者は、これまで何度も「サイバーセキュリティ予算はどのくらいが妥当なのか?」といった質問、相談をいただいている。「一般的な相場、平均が知りたい」といったものから「他社以上、業界平均以上の対策を取るとなると、経営層の説得が難しくなる」といった話も聞く。ネットワークセキュリティやエンドポイントセキュリティといった対策製品・サービスの調達、導入にかかるCAPEX(費用)から、人件費を含め製品・サービスの運用、対策の継続にかかるOPEX(運用費)に至るまで、対策の構築から継続した運用とさまざまな費用が発生する。

 経済産業省が2017年に実施した調査(調査対象組織の平均従業員数は1766人)の平均値では、企業のIT投資額は9億6000万円、対売上高比率は0.9%、IT要員数は45.4人、対従業員数比率は2.5%となっている。企業規模や業種によって差異があり一概には言えないが、例えば年商500億円の企業であれば、単純計算でIT投資額は4億5000万円となる。調査によって数値はさまざまだが、独自調査を含む筆者の推計では、平均的な日本企業のIT予算に占めるサイバーセキュリティ予算はおおむね5~7%と考えられる。先の例で7%と仮定すると、セキュリティ予算は3150万円となる。IT投資やサイバーセキュリティの取り組みに積極的な「先進企業」とそうではない「後進企業」の混在値であり、平均的数値として参考にはなるかもしれない。企業のセキュリティ投資は年々増加傾向にあり、先進企業は10%を超える予算を組んでいる。セキュリティレベルを強化する、あるべき姿にする観点では、この平均値が妥当だとは言い難い。

企業のIT投資とセキュリティ投資の比率
企業のIT投資とセキュリティ投資の比率

 セキュリティ製品・サービスの価格以上に近年考慮しなければならないのは、製品自体の導入・運用、セキュリティ業務の運用に要するOPEXだ。価格が手頃でも安全性が落ちたり運用負荷が高くなったりすれば意味がない。技術的に優れた製品でも運用するのに人的リソースへの負荷が高くては意味がない。サイバーセキュリティにおいては、人材不足やスキル不足と相まって、この運用負荷の問題は年々深刻になっている。

 セキュリティ専任人材を確保できる国内企業は決して多くはなく、兼務のケースが多い。採用コストやキャリアパスを含むさまざまな観点でも、自社で専任担当者か兼務か、MSSP(マネージドセキュリティサービス事業者)に委託するのか、組み合わせるのかで変わるが、いずれにしても、人件費の問題は避けられない。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]