CISOの相談室　第2回売上の何％をセキュリティ対策費用にすればよいのか？

ソフト開発の企業を経営しています。従業員は100名程度で、Pマークなどの認証こそ取得していませんが、プライバシーポリシーを策定し従業員に配布し管理し、ネットワークにはファイアウォールやアンチウイルスなどを導入しています。高いセキュリティを求めるほど大きな予算がかかりますが、セキュリティにいくらお金をかけてもそこから直接的な利益は生まれないので、上限や見切りの線引きが重要だと考えています。今回先生にご相談したいのは、企業はどの程度の金額をセキュリティ対策に投下するべきでしょうか？　売上の何％といった、具体的な基準がありましたら教えて下さい。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●最低でも0.46％？

この問題を考察する材料として、先ずは、事実を明確にしておきたいと思います。

Q1:現在、企業のセキュリティ予算は足りているのか？
A1:どんな統計を見ても答えはNOですね。

Q2:現在、企業のセキュリティ予算は増加傾向にあるのか？
A2:どんな統計を見ても答えはYESですね。

Q3:現在、企業は実際にどのくらいセキュリティに投資しているのか？
A3:「国内IT投資動向調査報告書 2007」（CIO Magazine, ITR）によれば、2006年の売上高に占めるIT予算の比率は平均3.2％で、その内セキュリティへの投資は14.5％です。つまり、売上高に占めるセキュリティ予算の実際は、0.46％ということになります。さて、これらの事実を踏まえて、答えは「最低でも0.46％」と単純に言ってよいでしょうか？

●単純な予算算出は無意味

ITへの依存度は、企業によって異なりますから、単純に「売上高に占めるセキュリティ予算」は何パーセントかという議論は意味がありません。企業規模、業種、情報の重要度や資産価値などによってもITへの依存度は大きく異なりますので、正確な数字を出すことは困難です。そこで、かなり強引ですが売上高に占めるIT予算比率によりITへの依存度を選択してはどうでしょう？前出の「国内IT投資動向調査報告書 2007」によれば、2006年の売上高に占めるIT予算の比率は平均3.2％です。貴方の企業はこれに比べて多いですか？少ないですか？

また、一般的に企業規模の小さいところは売上高に占めるセキュリティ予算比率は高く（最高で1.68％）、企業規模が大きくなればなるほど売上高に占めるセキュリティ予算比率は低くなる（最低で0.16％）という傾向があります。ですから、「売上高に占めるセキュリティ比率」の算出には、「ITへの依存度」と「企業規模」も加味する必要があります。

●独断と偏見の計算式

ここまでの考察を総合して、独断と偏見ではありますが、以下のような「売上高に占めるセキュリティ予算比率」の計算式を作ってみました…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec