計画的なサイバーセキュリティへの取り組み方と適切な予算の確保

2024年10月配信（11月20日公開） Column

ランサムウェアによる企業への身代金要求など、サイバー攻撃による被害の報告が相次いでいます。企業にとってサイバーセキュリティへの取り組みは、ますます重要な課題となっています。ただし、セキュリティの脆弱な部分を特定して対策を立て、適切なセキュリティ予算を確保することは簡単ではありません。

サイバーセキュリティは直接的な利益を生み出しませんが、IT活用のリターンとのバランスで対策投資を考えることが重要です。本記事では、将来を見据えたサイバーセキュリティ対策の計画方法や、そのための予算確保における重要なポイントについて解説します。

1. 中期的なセキュリティ計画がなぜ重要なのか

サイバーセキュリティを効果的に進めるためには、中期的な計画が重要になります。サイバーセキュリティは一度実施すれば完了するものではなく、事業環境の変化やITに導入される新技術、新たな脅威に対応するため、長期的かつ段階的に取り組みつつ、臨機応変に計画を見直すことが求められます。

そのため、自社の事業環境やIT環境を踏まえて、どのようなセキュリティ管理状況を目指すべきか、理想像をイメージします。次に、その理想像からリターンに対して過剰な要素を削り、自社として当面目指すべき現実的な姿に落とし込みます。そして、目指すべき姿へ近づく効果的な手順としての中期的なセキュリティ計画を策定し、トータルの費用を概算した上で、初年度の予算を具体化すべきです。このような取り組みは一見遠回りのようですが、場当たり的な無駄になりやすい投資や手戻りを防ぎます。このように、目指すべき姿へ計画的に近づいていく取り組みは、思わぬサイバーインシデントに足元をすくわれるリスクが下がるため、ビジネスを継続的に成長させる基盤となります。

では、どのようにして中期的なセキュリティを実現させるのか、その取り組み方を見ていきましょう。

1-1. 現場の把握を行い、リスクを評価する

中期的なセキュリティ計画にあたり、理想像をイメージするためには、多くの企業・組織のベストプラクティスであるガイドラインなどの活用が効果的です。より具体的なイメージをつけるために、先進的なセキュリティソリューションを当てはめるシミュレーションをしても良いでしょう。

その理想像を自社にとって現実的な目指す姿に落とし込むためには、現状のシステム環境やビジネスプロセスに潜んでいるリスクを洗い出すことが効果的です。単に対策が不十分であるだけでなく、サイバーインシデントが発生した場合の影響も考慮して、リスクの大きさを評価します。

サイバーインシデントによる影響の大きさには、業種の特性もあります。例えば、金融業界であれば取引の停止だけでなく、顧客データの漏えいが大きな問題になりますし、製造業であれば生産の停止がサプライチェーンに深刻な影響を与えるおそれがあります。このように事業環境を踏まえた影響を考慮してリスクを洗い出して評価すれば、その大きさから対応の優先順位を考えられるようになります。

1-2. リスク対応の優先順位から中期計画を立案

次に、優先順位の高いリスクより対応を中期的に計画します。大きなリスクは低減するだけでなく、リターンが小さい場合には回避や、外部の専門家に委託する移転など、事業構造や業務プロセスを見直す場合もあります。

リスクへの対応は、3〜5年を見据えたスパンで、段階的にセキュリティレベルを引き上げるための目標を設定し、関連するシステムのライフサイクルも考慮して、効果的な順序やタイミングを中期的に計画していきます。

例えば、初期段階ではサイバー攻撃の標的となりやすい外部ネットワークへのアクセス箇所を強化し、組織の防御力を底上げすることから始めます。さらに、モニタリングのポリシーを整備してその要件を満たす体制整備及びツールを導入、運用します。その後、強化された対策を前提とした従業員向けのセキュリティ教育を実施するなど、優先順位や効果的な順序を踏まえた計画が効果的です。結果として、組織にとって持続可能なセキュリティ対策を実現でき、長期的な安心を確保する基盤が整うのです。

もし自社内だけでリスクの洗い出しや中期的な計画が難しい場合、外部のセキュリティアセスメントサービスを活用するのも良いでしょう。専門家の評価を受けることで、理想像とのギャップが速やかに明確になります。

1-3. 来期の計画を具体化し予算を確保

中期的な計画の策定後、来期の計画を具体化し、全体及び来期の費用を算出し予算化へと進みます。適切な費用の判断には、サイバー攻撃のリスクだけでなく、セキュリティ対策への投資が事業のリターンに応じた不可欠な要素であり、現実的に目指すべき姿があることを中期計画として描くと良いでしょう。

セキュリティ対策への投資は、ビジネスの信頼性や顧客満足度の向上に寄与するだけでなく、法令遵守を確実にすることで、罰則や訴訟リスクの回避にもつながります。例えば、顧客データをサイバー攻撃から保護することにより、ブランドイメージの向上や顧客ロイヤリティの強化が期待できます。また、経営判断の参考として、同業や同規模の他社における対策例を参照することも有効です。

このように、セキュリティ対策がビジネスの長期的な成長を支えることを示し、対策を怠った場合のリスクや損失も併せて示することで、自社の目指すべき姿に向けた投資への利害関係者からの支持を得られるでしょう。

2. セキュリティ予算確保のヒント

サイバーセキュリティは企業の競争力を強化し、成長を支える重要な要素です。サイバーリスクが日々進化し、業界や政府の規制も高まり続ける中、単なる防御策ではなく、積極的な価値創造をもたらす投資としてセキュリティ計画を捉えることが求められます。中期的なセキュリティ計画を経営層が理解し適切な予算策定を実現するには、サイバー攻撃のリスク対応だけでなく、それによって安心して業務が出来るようになり、長期的な信頼性や顧客満足度が高まる等、利点を明らかにする必要があります。

セキュリティ計画により適切な予算を策定し、ビジネスを継続的に成長させる基盤とするためのポイントについて説明しましょう。

2-1. リスクとリターンのバランスで考える

サイバー攻撃による損害は、金銭的な損失やブランドイメージの毀損にとどまらず、期間システムの停止による事業の停滞や顧客からの信頼喪失といった、企業の存続を揺るがす深刻なリスクを伴います。実際、ランサムウェア攻撃によって業務が数カ月間停止し、数十億円規模の損害を受けた企業も存在します。このような事態を防ぐためのセキュリティ投資は、単なるリスク対策としてのコストではなく、「競争力の源泉」として位置づけるべきです。

更に具体的な視点として、ネットワークの分離や各種接続制御、Webフィルタリング等、制限をかける方向のセキュリティ対策はIT活用のリターンである利便性を下げます。リスク対策レベルを下げずに利便性を維持するソリューションを導入するという投資判断もあります。

「競争力の源泉」として、どこまでのリターンを得るためのリスク対策なのかバランスで考えることが、適切な予算確保には重要です。

2-2. DX（デジタルトランスフォーメーション）やシステム化の基盤とする

バランスで考える具体例として、セキュリティ対策を「攻撃から守るための防御策」として考えるのではなく、ビジネスの成長を促進するための「基盤」として位置づける必要があります。多くの企業が進めているDXでは、さまざまなデータの活用が欠かせません。しかし、多くのデータを適切に活用するには、利用範囲や接続範囲が広がるため、前提として強固なセキュリティ基盤が必要です。セキュリティの確保されていない環境では、重要なデータの取り扱いが制限され、DXの推進が阻害されるため、必要な投資ではないかとバランスで考えるのです。

セキュリティの課題をクリアした環境であれば、データ活用によるマーケティング施策などの事業展開、ビジネスプロセスの自動化、適切な権限管理による情報共有などが可能になります。これによって、企業は競争力を高められるでしょう。最近では、DXの推進とセキュリティ対策を、同時に進める企業も増えています。

セキュリティ担当者は、ITチームやDXチームと連携し、DXとセキュリティ対策を一体化した取り組みを強調することで、経営層にセキュリティ対策が単なるコストではなく、成長のための重要な投資であることを理解してもらいやすくなります。

2-3. 国や社会のセキュリティ強化要請を考慮する

セキュリティの重要性を理解していても、投資を続けて良いのか悩む企業は少なくないでしょう。多くの企業にとってセキュリティ対策の費用は決して安くありません。中堅企業では経産省が出しているサイバーセキュリティ経営ガイドライン等を参照、引用し、必要性を説明、認識共有する例が多く見られます。
【参照】経産省「サイバーセキュリティ経営ガイドラインと支援ツール」

中小企業では更に予算が厳しいのが実情です。そこで活用が進められている制度が、「SECURITY ACTION（セキュリティ対策自己宣言）」です。
【参照】IPA「SECURITY ACTION（セキュリティ対策自己宣言）」

SECURITY ACTIONは中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度で、経産省の外郭団体である独立行政法人情報処理推進機構（IPA）と中小企業関係団体が、安全で安心なIT社会の実現を目的に創設しました。SECURITY ACTIONは「IT導入補助金」や「ものづくり補助金（デジタル枠）」、「事業再構築補助金（サプライチェーン強靱化枠）」などの補助金申請要件としても採用されています。

IPAが行ったアンケート（2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査）の結果によると、SECURITY ACTION宣言を行った主な理由は補助金申請が多くを占めていました。しかしなかには、「情報セキュリティに係る自社の対応を改善したいと考えていた」という企業が24.4％、さらに「事業拡大や顧客開拓、取引先からの信頼を高める手段として有用と考えた」という企業が16.6％に上り、この制度が企業のセキュリティ対策に対する意欲を後押ししていることが伺えます。このような国の支援もあって、中小企業にもセキュリティ意識の改革が進んでいます。

企業規模が大きくなるほど、攻撃対象となる情報資産やインフラが増加し、リスクも複雑化します。特に大企業では、サプライチェーンを構成する取引先も含めた全体でのセキュリティ対策が求められており、中小企業の脆弱性解消も重要視されています。

企業は持続的な成長と信頼性の確保のため、戦略的かつ段階的にセキュリティ対策を進めることが必要です。このような国や社会のセキュリティ強化要請を考慮することも、予算確保のポイントでしょう。

3. 計画的なセキュリティにより企業価値を高める取り組みイメージ

セキュリティ対策への適切な予算配分は、企業の競争力を高めるだけでなく、ビジネスの成功を支える重要な基盤となります。セキュリティ予算を効果的に確保し、企業価値を高める計画的なセキュリティへの取り組みについて、昨今の動向を踏まえたイメージを紹介しましょう。

A社は製造プロセスの自動化やIoT導入を目指したDXプロジェクトに売上の約10％を投資し、その予算の約1割をセキュリティ対策に割り当てました。この思い切った決定をした背景には、これまでのテレワークやデジタル化推進によってサイバー攻撃や情報漏えいのリスクが高まっているという現状認識がありました。

システムの安定性やデータの保護がDX成功の鍵になると認識し、A社はセキュリティ管理基盤の構築に注力したのです。セキュリティ管理基盤を構築したことにより、安全にデータの活用が進められるようになり、DXプロジェクトの成功を確実なものとしました。その結果、生産性の飛躍的な向上、信頼性の高いサービスの提供が可能になり、A社は競争力の強化、競合との差別化に成功しました。

4. セキュリティ計画の支援はGSXにお任せください

GSXは、「日本全国の企業の自衛力を向上させること」をミッションに、サイバーセキュリティ市場の黎明期から多様なご相談に応じてきました。サイバー攻撃が高度化する中で、企業が直面するリスクはますます増加しており、GSXはこれに対応するため、幅広いサポートを提供しています。

たとえば、サイバーセキュリティ計画を立案する前に、現状のシステム環境やビジネスプロセスに潜むリスクを把握するためのサービスをご提供しております。

リスク可視化支援

企業の情報セキュリティ管理やシステム開発・運用を対象に調査を行い、対策方法や対応の優先順位などを客観的に報告・提言します。

https://www.gsx.co.jp/services/findrisk/riskvisualization.html

ランサムウェア態勢評価サービス

VPN装置の脆弱性を狙った不正侵入などのシナリオをもとに、ランサムウェア攻撃を受けたときの現状の態勢を評価します。

https://www.gsx.co.jp/services/cybersecurityorganization/ransom.html

システム監査・セキュリティ監査

専門知識を持った独立した第三者がシステム監査、情報セキュリティ監査を実施し、現状の管理策について評価・助言を行います。

https://www.gsx.co.jp/services/findrisk/auditservices.html

GSXがこれまで培った豊富なノウハウを活かし、企業の信頼できるパートナーとしてセキュリティ対策の悩みにお応えします。中期・長期的な視点に基づく計画立案の助言も可能ですので、ぜひお問い合わせください。

【執筆】
グローバルセキュリティエキスパート株式会社
プリンシパルコンサルタント
和田直樹
-------
GSXにて20年以上、様々な業種の企業に対するセキュリティ支援に従事。