デジタル人材の育成

セキュリティ関連費用の可視化 

最終更新日:2023年1月20日

背景

近年、サイバー攻撃が複雑高度化しており、サイバー攻撃が事業継続に及ぼすリスクはどんな企業であっても見逃すことはできません。また、企業が新たな価値創出をし、競争優位性を高めるためにはDX(デジタルトランスフォーメーション)の推進が欠かせません。

これらの課題に取り組む上で、企業のセキュリティ対策は不可欠ですが、実際に自社にセキュリティ製品やサービスを導入するためには、社内予算を確保する必要があります。
しかし、予算権限を有する経営者は必ずしも情報システム(IT)、制御システム(OT)のセキュリティ分野に関する知見があるわけではありません。
そのため、企業のセキュリティ担当者にはセキュリティ対策を経営者が理解できるような言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多いと考えております。

セキュリティ対策を遂行するための予算を上手く確保できない原因としては、経営者とセキュリティ担当者の立場、注目点、前提知識等が異なることから、お互いが共通して認識できる言葉や数字で対話できないことが考えられます。
例えば、経営者とセキュリティ担当者のそれぞれが気にかけていることとして、以下のような例が考えられます。

  1. 経営者:セキュリティ戦略の根拠が担当者から提示されない
    • 1.結局いくらの損失を低減/回避するために、対策をしたいのか?
    • 2.対策によって回避できるリスク、特に事業影響は何なのか?
    • 3.対策によって他社と比べて優位に立つことができるのか、追いつかなければならない状態なのか?
  2. セキュリティ担当者:サイバー攻撃リスクの重要性が社内に伝わらない
    • 1.サイバー攻撃のリスクを金額で表現できず、経営者に上手く説明できない
    • 2.サイバー攻撃事例を調査しても、自社や業界との関連性が整理できない
    • 3.リスク対策を検討したいが、製品やサービスが多く調査に時間がかかる

そこで、私たちは企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらうべく、お助けツール「NANBOK」を開発しました。

本ツールは、経営者とセキュリティ担当者のお互いが共通して認識できる言葉や数字として、IPA「情報セキュリティ10大脅威2022」に関わる事象が発生した場合の想定損失額を提示することができます。また、セキュリティ担当者が自社へ導入するセキュリティ対策を検討する際に役立つ情報として、セキュリティ製品/サービスがサイバー攻撃に対して防御、検知機能をどのように発揮するかということや、セキュリティ製品やサービスの国内での導入状況を提示することができます。

本ツールが経営者とセキュリティ担当者の相互理解を促進し、企業のセキュリティ対策遂行の一助になれば幸いです。

中核人材育成プログラム 5期 セキュリティ関連費用の可視化プロジェクトメンバー 一同

ツールの構成

ツールの使い方の概要は以下の通りです。

  1. 「TOP」シートで業界と脅威シナリオを選択
  2. 「損害額試算」シートで全体シナリオの確認
  3. 「損害額試算」シートで企業情報等を入力
  4. 「損害額試算」シートで損害額の確認
  5. 「対策と本シナリオにおける効果」シートで脅威シナリオに対応したセキュリティ製品/サービスの確認

各シートの詳細内容は以下の通りです。

「TOP」シート

検討したい「情報セキュリティ10大脅威2022」における脅威と業界を選択するプルダウンリスト、ツールの概要を記載しております。

「HOW_TO_USE」シート

具体的なツールの使い方を詳細ステップに分けて説明しています。

「損害額試算」シート

「TOP」シートで選択した、「情報セキュリティ10大脅威2022」の各脅威の説明と、私たちが考案した脅威シナリオ、利用者に入力して頂きたい自社に関する質問項目(最大18項目)、質問への回答に応じて提示される脅威シナリオにおける想定損害額とその内訳、想定損害額の計算には含めていないものの、その他に発生し得る損害項目を記載しております。

「算定根拠」シート

「損害額試算」シートで想定損害額の算出に係る項目一つひとつの算定根拠を記載しています。また、想定損害額の計算には含めていないものの、その他に発生し得る損害項目についても、参考情報を記載しています。

「対策と本シナリオにおける効果」シート

「TOP」シートで選択した脅威シナリオにおける攻撃者の行動、「情報セキュリティ10大脅威2022」における推奨対策とそれに対応する具体的な製品やサービス、各製品・サービスの効果と考慮すべき事項と脅威シナリオにおける効果、日本国内の導入状況を記載しています。

ダウンロード

利用上の注意

本ツールのご利用は,「NANBOK」に記載の免責事項・注意事項・著作権をご参照ください。