情報セキュリティ予算の適正額は？確保から配分まで5つのポイント

近年、情報漏えいやサイバー攻撃等の脅威は増しており、企業にとって情報セキュリティ対策は喫緊の課題となっています。
特に近年では中小企業が狙われるケースも増えており、その脅威は深刻化しています。しかし中小企業では情報セキュリティ対策予算が少なく、「予算の確保が難しい」「経営層の理解が得られない」「限られた予算で何をすべきか分からない」といった悩みを抱える担当者様が多いのではないでしょうか。

本記事では、情報セキュリティ予算の適切な設定方法から経営層への説明のポイント、そして限られた予算内で効率的に対策を実施する方法まで、中小企業のセキュリティ担当者が知っておくべき情報を解説します。

昨今のサイバー攻撃と狙われる中小企業

警察庁が公開した、「令和５年におけるサイバー空間をめぐる脅威の情勢等について」では、サイバー攻撃の一種であるランサムウェアの被害を受けた企業の企業規模の内訳を公開しています。この資料によると大企業は36%、中小企業は52%と、企業規模を問わず被害を受けており、中小企業であってもサイバー攻撃の標的になりうることが分かります。

しかしながら、中小企業の情報セキュリティ対策は順調に進んでいません。IPA(情報処理推進機構)の「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によると、直近過去１期の情報セキュリティ対策投資額は、半数以上が50万円未満です。このように、大多数の中小企業が情報セキュリティ対策に対して少額の予算しかかけられていないことがわかります。

とはいえ、情報セキュリティ対策予算を急に増額することは容易なことではありません。そのため、限られた予算内で効率よく対策を講じていく必要性があります。

情報セキュリティ予算の適切な規模とは

IT予算に占めるセキュリティ予算の目安

企業のIT予算に占める情報セキュリティ予算の割合は、業界や企業規模によって異なりますが、一般的に10〜15%程度が推奨されています。しかし日本企業の現状では、約6割の企業が10%未満にとどまっており、国際的な水準と比較しても低い傾向にあります。

予算を確保できない3つの理由

中小企業で情報セキュリティ予算が確保しにくい背景には、以下のような理由があります。

経営層が「コスト」と捉えている

売上に直結しないため、コスト削減の対象と見なされやすい

投資対効果が見えにくい

専門用語が多く、経営層が必要性を判断しづらい

自社は狙われないという誤解

「重要な情報がない」「大企業だけが標的」という認識

このような課題を解決し、適切な予算を確保するためには、経営層への効果的な説明が不可欠です。

情報セキュリティ予算を最大限活用する5つのポイント

それでは、どのようにすれば限られた予算の中で効率よく対策を講じていくことができるのでしょうか。本章では、参考にすべきポイントを5点紹介します。

リスクの優先順位を検討する

まず、重要となる考え方が、「守るべき情報（データ）の優先順位を明確にすること」です。しかしながら、自社にとって「最も守るべき情報とは何か」、を明確に把握できている企業は案外少ないのではないでしょうか。
もちろんすべての情報を守ることができれば、それが理想的と言えますが、予算が限られている以上、完璧な情報セキュリティ対策を実行することは現実的ではありません。そのために、「最も守るべき情報」を把握し、優先度の高い箇所から適切に対策を講じていくことが重要となります。
また、Web上に公開されているリスク評価ツールや分析シート等を活用することで客観的に現状を把握することができるので、優先順位を検討する際に活用しても良いでしょう。

リスクアセスメントの進め方

具体的なリスクの優先順位付けは、以下のステップで進めましょう。

ステップ1：資産の洗い出し
守るべき情報資産（顧客データ、技術情報、財務情報など）をリストアップ

ステップ2：脅威の特定
各資産に対するサイバー攻撃や情報漏えいのリスクを特定

ステップ3：影響度の評価
リスクが顕在化した場合の事業への影響度を評価（金銭的損失、信用失墜など）

ステップ4：優先順位の決定
影響度と発生可能性を基に、対策の優先順位を決定

このプロセスにより、限られた予算を最も効果的に配分できます。

各業界団体が発行するガイドラインや指針を参考にする

効率よく情報セキュリティの予算を使っていくために、自社が該当する業界団体のガイドラインや指針を参考にすることも有効です。業界によっては、特有のリスクが存在します。このようなリスクを漏れなく対策するために、ガイドラインや指針で自社が満たしていないポイントを確認するようにしましょう。 また、情報セキュリティのベストプラクティスや、成功事例を公開している業界団体もあるので、参考にしても良いでしょう。

経営層への予算説明を成功させる4つのコツ

情報セキュリティ予算を獲得するには、経営層が「自分事」として認識できる説明が重要です。

1. 同業他社の事例を引き合いに出す

経営層は競合の動向を気にします。同業他社で発生したインシデント事例や、業界標準の対策レベルを示すことで、説得力が増します。

2. ガイドラインを根拠に説明する

IPAの「サイバーセキュリティ経営ガイドライン」や業界団体の基準など、公的な指針を根拠とすることで、提案の妥当性を示せます。

3. 事業継続性の観点から訴求する

「情報漏えい」だけでなく、「業務停止による売上損失」「取引先からの信頼喪失」など、事業継続に関わる影響を具体的に説明しましょう。

4. 経営者責任の観点を伝える

善管注意義務の観点から、セキュリティ対策は経営層の責任であることを伝えることも有効です。

これらのポイントを押さえることで、技術的な説明に偏らず、経営視点での対話が可能になります。

情報セキュリティの専門家に相談する

効率よく情報セキュリティ対策の予算を使っていくために、外部の専門家へ相談することも有効です。情報セキュリティの専門家は、多くの企業で支援を行っていることから、様々なノウハウや知識を多く蓄えています。自社の現状や予算感等の情報と共に相談することで、有効な対策について提案を行ってくれるでしょう。自社で対策を探すよりも効率的かつスピーディに、求める対策が見つかるかもしれません。

ALSOKでも無料相談を受け付けています。「この予算内でできる有効な対策は何か？」や「詳しい人がいなくて何も分からない」等、些細な悩みでも専門家が丁寧にヒアリングし、貴社に合った対策を提案します。ぜひ、お気軽にご相談ください。

運用を考慮する

情報セキュリティ対策を行う上で、運用負荷の高さについても漏れなく検討しましょう。費用が低い場合は以下のような運用上のデメリットが生じる可能性があります。

• 運用サポートが付帯されていない
• マニュアルの内容が薄く不十分である
• 担当者の作業量が多く、業務負担が大きい

費用を抑えることができたとしても、運用に課題があっては効果的な対策とは言えません。そのため費用面だけではなく、対策を導入した後の運用についても十分な検討を行いましょう。

組織的な対策についても検討する

情報セキュリティ予算の使い道として、ウイルス対策ソフト等の技術的対策の他に、社員に対する教育等の組織的な対策についても検討しましょう。たとえ、強固な対策を施しても社員のセキュリティ意識が低ければ、望んだ効果を得ることは難しくなります。技術的対策の効果を高めていくためには、社員１人１人が情報セキュリティの重要性を理解することが必要不可欠です。標的型攻撃メール訓練やeラーニング研修など、組織的な防御力を高めるための対策についても検討しましょう。

中小企業がぜひ導入したい情報セキュリティ対策

最後に、予算が限られている中小企業でもぜひ導入しておきたい基本対策を3点紹介します。まだ導入していない対策があれば、検討してみてください。

ウイルス対策ソフト

情報セキュリティ対策の基本として、まず導入しておきたい対策がウイルス対策ソフトです。昨今では、法人個人を問わず一般的な対策として認知され、既に導入している企業も多いと思います。もし未導入の場合は、対策の第一歩として導入を検討してみてはいかがでしょうか。法人向けウイルス対策ソフトの選び方については、以下の記事で解説しています。

UTM（Unified Threat Management）

UTMは、ファイアウォールやウイルス対策、Webフィルタリング等の機能を１つに集約した、総合的な情報セキュリティ対策のことを指します。UTMを導入することによって、様々な脅威から自社のネットワークを守ることができます。一方でUTMは、費用や運用面等が導入後にネックとなることがあるため、導入の際は考慮が必要です。 またALSOKでは、中小企業でも導入しやすい「低価格の運用サービス付きUTM」を提供しています。

IT資産管理ソフト

IT資産管理とは、ハードウェアやソフトウェア、ライセンスといった企業内のIT資産を管理することを指し、これを効率的に行うツールがIT資産管理ソフトです。 IT資産管理によって、脆弱性のあるOSやソフトウェアのバージョンを利用していないかの確認や、ソフトウェアアップデートを一元的に管理することができ、セキュリティの向上が期待できます。また、不要なハードウェアやソフトウェア、ライセンスを把握でき、無駄な費用の削減にもつながります。 昨今は、クラウド型で導入が容易かつ安価なサービスが一般的になってきました。自社の環境や運用負荷、費用等を総合的に検討し、選定するようにしましょう。

まとめ