日本サイバーセキュリティ・イノベーション委員会(JCIC)によれば、セキュリティー投資は「人件費」「教育費」「システムの導入・運用費」「SOC(セキュリティー・オペレーション・センター)などのアウトソース費」「評価・監査費」の5つに大きく分類されるという。
ただし企業によって予算の組み方は異なる。例えば日清食品ホールディングス(HD)では、「ランサムウエア対策」「OT(Operational Technology)セキュリティー対策」「従業員教育」「その他」という項目で予算を組んでいる。
一方でIT関連投資とセキュリティー投資の区分けが難しいケースがある。例えば、クラウドサービスに含まれるセキュリティーオプション機能などはどちらに分類すればよいか迷うだろう。
NTTセキュリティ・アンド・トラスト室の木村正人室長は「EDR(Endpoint Detection and Response)の導入はセキュリティー投資に入るものの、ID管理やゼロトラストの社内向けシステム(OA環境)対策などは、ITとセキュリティーのどちらに入れるか線引きが難しい」と話す。JCICでは、主要な機能を提供している項目への計上が現実的としている。
セキュリティーの投資項目の優先順位は、どのように考えればよいのだろうか。JCICの上杉謙二主任研究員は、最優先として人件費を挙げる。「CISO(最高情報セキュリティー責任者)やその周りがどういうビジョンでセキュリティー対策を実施するのかがとても重要だ」(上杉主任研究員)。そのため、必要な人材を配置するのに費用をかけることが不可欠になるという。
他業界よりも先進的にセキュリティー対策を導入している金融業界でも人材確保は課題だ。「どの業界でもセキュリティー人材に対するニーズが高いため、条件に合った人材を確保するのが難しい。また確保できたとしてもあまり定着しない」(デロイトトーマツグループの縣和平パートナー)。
JCICの上杉主任研究員はその次に重要な項目として、システム費を挙げる。「メリハリをつけて必要な箇所にしっかり投資する必要がある」(上杉主任研究員)と語る。
