セキュリティ関連費用の可視化　

背景

近年、サイバー攻撃が複雑高度化しており、サイバー攻撃が事業継続に及ぼすリスクはどんな企業であっても見逃すことはできません。また、企業が新たな価値創出をし、競争優位性を高めるためにはDX(デジタルトランスフォーメーション)の推進が欠かせません。

これらの課題に取り組む上で、企業のセキュリティ対策は不可欠ですが、実際に自社にセキュリティ製品やサービスを導入するためには、社内予算を確保する必要があります。
しかし、予算権限を有する経営者は必ずしも情報システム(IT)、制御システム(OT)のセキュリティ分野に関する知見があるわけではありません。
そのため、企業のセキュリティ担当者にはセキュリティ対策を経営者が理解できるような言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多いと考えております。

セキュリティ対策を遂行するための予算を上手く確保できない原因としては、経営者とセキュリティ担当者の立場、注目点、前提知識等が異なることから、お互いが共通して認識できる言葉や数字で対話できないことが考えられます。
例えば、経営者とセキュリティ担当者のそれぞれが気にかけていることとして、以下のような例が考えられます。

1. 経営者：セキュリティ戦略の根拠が担当者から提示されない
   • 1.結局いくらの損失を低減/回避するために、対策をしたいのか？
   • 2.対策によって回避できるリスク、特に事業影響は何なのか？
   • 3.対策によって他社と比べて優位に立つことができるのか、追いつかなければならない状態なのか？
2. セキュリティ担当者：サイバー攻撃リスクの重要性が社内に伝わらない
   • 1.サイバー攻撃のリスクを金額で表現できず、経営者に上手く説明できない
   • 2.サイバー攻撃事例を調査しても、自社や業界との関連性が整理できない
   • 3.リスク対策を検討したいが、製品やサービスが多く調査に時間がかかる

そこで、私たちは企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらうべく、お助けツール「NANBOK」を開発しました。

本ツールは、経営者とセキュリティ担当者のお互いが共通して認識できる言葉や数字として、IPA「情報セキュリティ10大脅威2022」に関わる事象が発生した場合の想定損失額を提示することができます。また、セキュリティ担当者が自社へ導入するセキュリティ対策を検討する際に役立つ情報として、セキュリティ製品/サービスがサイバー攻撃に対して防御、検知機能をどのように発揮するかということや、セキュリティ製品やサービスの国内での導入状況を提示することができます。

本ツールが経営者とセキュリティ担当者の相互理解を促進し、企業のセキュリティ対策遂行の一助になれば幸いです。

中核人材育成プログラム 5期 セキュリティ関連費用の可視化プロジェクトメンバー　一同

ツールの構成

ツールの使い方の概要は以下の通りです。

1. 「TOP」シートで業界と脅威シナリオを選択
2. 「損害額試算」シートで全体シナリオの確認
3. 「損害額試算」シートで企業情報等を入力
4. 「損害額試算」シートで損害額の確認
5. 「対策と本シナリオにおける効果」シートで脅威シナリオに対応したセキュリティ製品/サービスの確認

各シートの詳細内容は以下の通りです。

ダウンロード

• NANBOK(Excel:7.6 MB)

利用上の注意

本ツールのご利用は,「NANBOK」に記載の免責事項・注意事項・著作権をご参照ください。