 |
情報セキュリティ投資講座
情報漏えいに備えるセキュリティ投資の目安
井上真一
コンピュータ・アソシエイツ株式会社
2004/8/25
情報漏えい事故が多発している現在、企業には何らかの対策を施す必要がある。しかしながら、通常のIT投資と違っていわゆるROIでセキュリティ投資を考えることは難しい。この記事では、情報漏えいが発生した場合の被害額、または設備投資額など具体的な数字を参考にしながら最適なセキュリティ投資額を算出する。(編集部)
 |
情報セキュリティ管理を取り巻く状況 |
個人情報保護法の全面施行が来年に迫ったいま、情報収集フェイズは終わり、セキュリティ対策実施が急務となってきた。セキュリティ対策の担当部門といえば、中小の企業では総務部や法務部、情報システム部が担当し、大企業ではCIO(最高情報責任者)が兼務している場合とCSO(最高セキュリティ責任者)が配置されている場合があるだろう。
2000年以降ネットワークの発達により、セキュリティ管理の対象が、書類や入退出管理といった物理的な管理から、ネットワークを考慮した情報システム中心のセキュリティ管理へと変化してきている。株式会社ITRが調査した「国内IT投資動向調査報告書 2004」によると、CIOの役務が情報システム戦略の立案・執行や情報システムの開発・運用・管理、業務プロセスの改善・再構築だけでなく、ネットワークセキュリティの管理をも含むようになったという。
| 【国内IT投資動向調査報告書 2004】 http://www.itr.co.jp/inv_trend04.html |
この調査によれば、約4割のCIOがネットワークセキュリティの管理を統括している。この数値は前年比6ポイント増であり、このことからも情報システム部がセキュリティ戦略の中心となっていることがうかがえる。
さて、このような状況において、情報システム部では経営に必要なセキュリティ対策を実施するに当たり、どのくらいの金額を投資すべきかが課題となっている。
SFA、SCM、ERP、会計システムなどに代表されるいままでの情報システムのように、業務効率や売り上げ増、コスト削減といったROI(投資対効果)の観点ではセキュリティ投資は説明しにくい。リスクマネジメントの観点で説明できないこともないが、具体的な数字を使って説明されていないのが現状である。
今回は、「直接被害額・間接被害額から見たセキュリティ投資」「設備投資・情報投資額から見たセキュリティ投資」「実際の保有設備から見たセキュリティ投資」といった3つの観点から、具体的な数字を使ってセキュリティ投資を考えてみる。
|
直接被害額・間接被害額から見たセキュリティ投資 |
実際に情報漏えいが起きたことを想定して、それに見込まれる損失を目安に投資額を検討してみる。新聞などで報道されたデータから直接被害額・間接被害額をまとめてみる。なお、直接被害とはお詫びの金券(とその配布費用)や記者会見費用など一次的に発生する損失である。一方、間接被害とは損害賠償請求が確定し、被害者全員にそれを支払った場合に発生する損失である。
|
||||||||||||||||||||||||||||||
| 表1 主な情報漏えい事故 |
なお株価への影響であるが、財団法人日本ネットワークセキュリティ協会(JNSA)の「情報セキュリティインシデントに関する調査報告書(2002)」によると短期的には株価への影響はないとされている。しかし、これは情報漏えい後のCRM(顧客関係管理)がうまくいき、逆に同情または好感されている可能性があることも考慮に入れるべきだ。
| 【情報セキュリティインシデントに関する調査報告書(2002)】 http://www.jnsa.org/active1a.html |
直接被害額としては、被害者へのお詫びとして500円から1000円程度の金券を発行することが多い。これに記者会見設定費用など数十万円程度が計上されると考えられる。この結果、直接被害額は、被害者100万人以下の情報漏えいで10億円未満と想定される。
|
||||||||||||||||||||||||||||||
| 表2 直接被害額の内訳 |
一方、間接被害額については、宇治市住民基本台帳データ大量漏えい事件の判例などを基準にすると、損害賠償金額が1人当たり1万円程度である。TBCの情報漏えい事件では被害者の一部だけではあるものの1人当たり115万円の損害賠償を請求している。一般的に損害賠償額は1〜4万円が中心となっており、一般的な項目の情報漏えいであれば、損害額は数十億円である。また、重要な項目の情報漏えいの場合、損害賠償額は500億円程度に達する。ここでいうところの重要な情報とは与信情報など金融機関が保有する情報を指す。
|
||||||||||||||||||||||||||||||
| 表3 間接被害額の内訳 |
結論からいえば、初期段階のセキュリティ投資として認められる金額は、一般的な項目の情報漏えいについては、直接被害だけを考慮に入れた場合10億円未満、間接被害も考慮に入れれば100億円未満といえる。なお、最終的な投資額は、企業利益の範囲内とのバランスを取ったものとなるだろう。
また、重要な情報の漏えいの場合は、損害賠償金額がさらに大きくなる。このことを考慮に入れると金融機関など重要な情報を多く保有する企業の場合、上記の5〜10倍のセキュリティ投資が必要と考えられる。
|
情報漏えい保険を使った補てんに必要な情報投資 |
情報漏えい対策のセキュリティ投資として、直接被害金額だけを考慮に入れても投資額が10億円にもなると、実際には単年度予算として通すのが難しい可能性がある。この場合、個人情報漏えい保険も視野に入れて検討してみるべきだ。
以前はこの種の保険は加入条件が厳しく、総務省が平成16年7月に発表した「情報セキュリティに関する実態調査」によると約95%の団体が加入していない。
| 【情報セキュリティに関する実態調査】 http://www.soumu.go.jp/s-news/2004/040705_2.html |
最近では、中小企業向けの個人情報漏えい保険が、損保ジャパンやニッセイ同和損保、AIU保険から発売されている。これらの保険は、簡単な告知書に回答するだけで加入可能であり、2000万〜4億円までの補償が可能である。もし個人情報漏えい保険に加入できるのであれば、被害額の一部を保険で補えるため、セキュリティ投資額を削減可能である。このため、これらの保険は発表直後、数十件の問い合わせがあり、加入者数も順調に伸びているという。
こうした保険を利用するためには、引き受け条件に合致した体制や、最低限のセキュリティ情報システム(ファイアウォール、侵入検知システム(IDS)、ウイルス対策など)の導入が必須となっている。また、特定の機能を持つセキュリティ製品を導入することで、保険会社がリスク低減効果を評価してくれる。保険料の割引なども検討されているので、システムの選定に当たっては割引対象かどうかもセキュリティ投資額に影響することから1つの選定基準となるだろう。
|
設備投資・情報投資額から見たセキュリティ投資 |
●企業売上高からのアプローチ
前出の「国内IT投資動向調査報告書 2004」(ITR)によれば、情報化投資率は平均1.9%である。売上高別に見ると、売上高100億円以上で1.5〜1.7%、10億〜100億円で2.6%、10億円未満で3.6%と幅がある。投資対象は、ウイルス対策、ネットワークセキュリティが1位、2位を占めている。残念ながら、この資料ではこれらの割合は不明である。
似たような調査で、経済産業省情報処理実態調査(平成14年、調査対象期間は平成13年4月1日〜14年3月31日)では、IT投資額は平均で売上高の1.3%となっており、そのうちのソフトの占める割合は約25%である。この資料から推測すると、売上高100億円程度の企業で3000万〜4000万円程度、売上高10億円程度の企業で1000万円程度がソフトに投資されている。この金額から、セキュリティソフトへの投資がなされることとなる。
| 【経済産業省情報処理実態調査】 http://www.meti.go.jp/policy/it_policy/statistics/jyojitsu.htm |
●従業員数からのアプローチ
JNSAがまとめた「情報セキュリティインシデントに関する調査報告書(2002)」によると、1人当たりの情報セキュリティ予算は、被害に遭わなかったグループが1万5991円なのに対し、被害に遭ったグループのそれは5327円にすぎず、約3倍の差があるという。また、企業規模が大きくなれば、1人当たりの投資金額は減る傾向があるとされており、これは企業売上高からのアプローチの情報投資率と合致する。
以上を踏まえて、従業員数からのアプローチを考えると、1万5991円×従業員数が目安となるであろう。このことから、従業員数300人規模の企業で480万円程度、1000人規模の企業で1600万円程度、3000人規模の企業で4800万円程度が必要であろう。
|
保有設備から見たセキュリティ投資 |
保有設備に対するセキュリティ製品の導入という視点からセキュリティ投資を考えてみよう。保有設備とセキュリティ製品の適用数から製品投資額を算出し、情報投資におけるソフトの占有率から全体の投資額を推定してみる。
保有設備の構成は、前述の個人情報漏えい保険の引き受け条件となる最低限のシステム(ファイアウォール、IDS、ウイルス対策)を基本に、サーバのアクセス管理を行うアクセスコントロールを付加した標準的な構成と、さらにスパム対策、脆弱性管理システム、資産管理(不正PC検出やライセンス管理など)を含めた理想的な構成で考えてみる。
各セキュリティシステムと情報システムの構成の関係は次のように仮定する。
|
ファイアウォール:ノード数 |
一方、各セキュリティシステムの費用は次のように仮定する。
|
ファイアウォール:50万〜300万円 |
一般的な企業ではメール、Web、DNSサーバ各1台以上に加えて部門サーバ、ファイルサーバが10〜50人(クライアント)に対し1台程度設置されていると考えられる。ネットワークについてはセグメント数が最低2〜3に分けられていると考えられる。
総務省が平成16年7月に発表した「情報セキュリティに関する実態調査」によると上場企業の47.7%が1000台以上のクライアントPCを所有していることからモデルとして以下のような企業を想定する。
|
従業員:1000人 |
この結果、ソフトなどにかかるコストは、標準的な構成で2000万円から6500万円程度、理想的な構成で3400万円から1億円程度が必要である(計算表はこちら)。
情報投資におけるこれらソフトなどの投資比率は20〜40%程度である。つまりセキュリティ投資額の総計は標準的な構成で5000万円から3億2000万円前後、理想的な構成で8500万円から5億円前後になると推定される。
なお、「情報セキュリティに関する実態調査」では上場企業で情報セキュリティ投資額を1000万円以上とする企業が24.8%と拡大している。この中でも1000万〜5000万円の伸び率が4.3%と最も著しく、次に1億円以上の伸び率が2%であることから、上記の推定は妥当である。
|
通常のROIでは計算できないセキュリティ投資 |
以上のように、被害額、情報投資、保有設備といった視点からセキュリティ投資を考えてみた。従業員数が1000〜3000人程度、売上額が10億〜100億円程度のモデル企業で考えると、最低限のセキュリティ投資は5000万円程度となる。このうち2000万円はセキュリティソフトの導入に費やすことになる。
さらに個人情報漏えい保険を併せれば、6000万円程度のセキュリティ投資で、2億〜4億円程度の被害額をカバーできる。6000万円という額はモデル企業の経常利益の10%前後であることから、今年度の利益の一部をリスク対策として集中投資することも考えられる。
標準的な環境を構築するためセキュリティ投資としては1億5000万円程度(うちセキュリティソフト2000万〜6500万円程度)が必要だ。なお、金融機関のような重要な情報を持つ企業であれば、理想的な構成のセキュリティ投資として2億円程度(うちセキュリティソフト8500万円程度)の投資が必要である。
セキュリティ投資といっても、通常の情報投資のようなROIを求めていては、本来のセキュリティが確保できない。また、セキュリティマネジメントは、いままで総務や法務、人事の仕事であったが、情報が紙から電子データになることにより、情報システム部の存在が重要になってきた。このため、従来の情報システム部から情報セキュリティ&システム部への転換を図るうえでも、セキュリティ投資とセキュリティマネジメントシステムの提案をCEO(最高経営責任者)やCOO(最高執行責任者)と呼ばれる経営層にしてもらいたい。
| 関連リンク | |
| 個人情報漏えいが発生したらどうすべきか? | |
| 個人情報保護法(セキュリティ用語事典) | |
| 個人情報保護法がもたらすビジネスへの影響は (情報マネジメント) | |
| インターネットは個人情報の敵? (情報マネジメント) | |
| 職場における電子メールとプライバシー (情報マネジメント) | |
| 求められるオンラインでの個人情報保護対策 (NewsInsight) | |
| 「個人情報保護法」時代のセキュリティ対策 (NewsInsight) | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
