【IT・情報システム担当者必見】
情報セキュリティ予算獲得のポイントを徹底解説

企業のDX化、テレワークの普及などにより、ビジネスのあり方は大きく変わりました。利便性が大いに向上する一方で、情報セキュリティの脅威も年々増加の一途をたどっています。

対策のキーは経営層の理解

JUAS（一般社団法人 日本情報システム・ユーザー協会）による「企業IT動向調査2022」では、「今後（3年後）のセキュリティ関連費用は半数以上の企業が増加を見込んでおり、今後も継続的に対策は強化されると考えられる」と報告されています。

また「経営層の関与度の高い企業ほど、セキュリティインシデント発生後の対策にも重点を置いて、戦略的に施策を推進している」と述べられています。

こうした調査からは、情報セキュリティリスクに備えることは緊急性の高い課題であること、そして意識の高い経営層ほどそれをよく理解していることが見て取れます。
その一方で、情報セキュリティ対策が十分に行えない、予算が十分にかけられないといった企業は、経営層が情報セキュリティに対する意識を高める必要があると言えそうです。

中堅・中小企業の多くの経営層には、サイバー攻撃を受けるのは大手企業が中心であるという認識があるのかもしれません。そのことが、大企業に比べて情報セキュリティ対策が不十分な理由の１つとして考えられます。

中小企業こそ狙われている

近年のサイバー攻撃は巧妙化しており、いきなりガードの固い大手企業を狙いません。むしろガードが比較的甘いと考えられる中小企業をターゲットにしています。そこを足がかりとして最終目標にしている企業に入り込む「サプライチェーン攻撃」が増加しており、IPAの「情報セキュリティ10大脅威 2022」組織編の3位にランクインしているほどです。サプライチェーンとは、部品の調達から製造、配送、販売という、商品や製品が消費者の手元に届くまでの一連の流れのことで、モノが会社をまたいで流れるように、攻撃も会社をまたいで襲ってきます。
ほかにも社内ネットワークに入り込んだマルウェアが、取引先に被害を拡散させてしまうこともあります。知らぬ間に踏み台にされ、加害者になってしまう可能性があるのです。

これまで何も起きていないから、これからも大丈夫と思って従来通りの対策を続けることは非常に危険です。情報漏洩のような事故がひとたび起きてしまうとその被害は計り知れず、以下のような事態を招くおそれがあります。

• 顧客への損害賠償
• 取引停止による業績低迷
• 社会的信用の失墜

そうならないためにも、IT・情報システム担当者としては以下の3つのポイントを踏まえて経営層をしっかり説得しておきたいところです。

①「何を守るか」を明確にする

守るべき情報資産を明確にします。ただ単に「情報セキュリティ対策が必要なので予算を計上してほしい」と言うのではなく、何を守るために予算が必要か、もし守れなかった場合どのような被害が起こり得るかを説明する必要があります。

②「何から守るか」を明確にする

社外からのサイバー攻撃、社内におけるヒューマンエラーなど、具体的なリスクを想定します。テレワークを導入している企業はそれも含めて考えましょう。さまざまなリスクから会社を守るために必要なソフトやツールも見えてきます。

③「投資」という考えを強調する

経営層はできるだけコストを抑えたいと考えます。しかし情報セキュリティ対策はコストではなく、投資ととらえることが大切です。被害を未然に防ぐ、あるいは最小限にとどめるための必要不可欠な取り組みであることを強調しましょう。

経営層に説得力のある説明をするためには、今現在自社の情報セキュリティ状況がどのようなものであるか、エビデンスとして示すことが有効です。サクサでは、Web上で簡単に自社の状況を診断することができる「情報セキュリティ現状診断」を公開していますので、ぜひご活用ください。
やり方はいたって簡単です。20の質問に「はい」または「いいえ」で答えると合計得点が算出され、得点に応じた情報セキュリティ対策の実施状況が可視化できます。自社の情報セキュリティ対策の取り組み状況はもちろん、今後対策を立てるべき問題点を把握することが可能です。

ここまでIT・情報システム担当のみなさま向けに、情報セキュリティ予算獲得のポイントを解説してきました。情報セキュリティ対策が必要であることは重々承知していながら、毎年最低限の予算しか計上されない、そんな企業もあるのではないでしょうか。今回の記事が、経営層への訴求のお役にたてば幸いです。サクサでは、さまざまなソリューションのご提案を通して中堅・中小企業の課題解決をサポートさせていただきます。まずは自社の状況を把握するために、「情報セキュリティ現状診断」をぜひお試しください。