セキュリティー投資で一番難しいのが投資額の設定だ。どれだけ投資しても、リスクを確実に防げるという保証はない。日本サイバーセキュリティ・イノベーション委員会(JCIC)の上杉謙二主任研究員は「防衛費を1兆円増やしてもリスクがどのくらい減るかは誰も算出できないのと同じ」とした上で、「攻撃者の意図(悪意)を数値化できなければ、必要な投資額も数値化できない」とその難しさを語る。
一方で上杉主任研究員は、「サイバー攻撃の被害に遭った場合でも、業界水準の対策をきちんと講じてきたと示せる投資額の目安は必要だ」と強調する。
1000億円企業なら5億円の投資を
そこでJCICはセキュリティー投資額の目安として「連結売上高の0.5%以上」というシンプルなアプローチを推奨する。例えば連結売上高が1000億円の企業であれば、セキュリティー投資額の目安は年間5億円になる。
この投資額には人件費やアウトソース費用、セキュリティーシステムの購入費や利用費などが含まれる。ただし新規システムの導入やインシデント対応等の状況により、セキュリティーリソースが連結売上高の0.5%よりも必要になる場合がある。また逆に、既にある程度投資して落ち着いている状況なら、連結売上高の0.5%未満であっても問題がない場合もある。
「0.5%以上」という目安は、非営利の国際組織FS-ISAC(Financial Services Information Sharing and Analysis Center) と米Deloitte(デロイト)が実施した金融機関の調査データから設定した。他の業界よりも強固なセキュリティー対策を施している金融機関並みの投資を目安にすることで、仮にサイバー攻撃の被害に遭っても対策をしっかりと講じてきたと説明できる。これにより、レピュテーションリスクの軽減が期待できる。
またJCICによればセキュリティー投資額における別の算出方法として、IT予算に占める割合から算出する方法や、従業員1人当たりの支出額から算出する方法があるという。
