セキュリティ対策にかかる費用

 2017.09.12 Secure Enterpriseポータル

これからセキュリティ対策を講じていこう、と考えている企業では、「セキュリティ対策にどれくらい費用を投じればいいのか?」という疑問があるのではないでしょうか。情報セキュリティには100%がないため、どの程度費用を投じれば、堅牢なセキュリティを構築できるという基準が曖昧です。

このため、セキュリティ対策に必要以上の費用を投じしまったり、反対に費用不足でセキュリティ体制が甘くなってしまう、という事例は少なくありません。

「費用をかけるほどいいわけではない。でも、かけ過ぎてはダメ」という基準がない問題は、いつでも難しいものです。

そこで今回は、セキュリティ対策にかかる費用について、お話していきたいと思います。

セキュリティ対策の費用目安は

中小企業と大企業のセキュリティ対策では、かける費用の差に大きな開きがあります。組織規模資金面を考慮すれば、それは当然のことだと言えます。ちなみに、大企業では「1,000万円以上」と「わからない」が大多数を占めるのに対し、中小企業では「50万円未満」と「50万~100万円」が最も多くなっています。

参考:中小企業庁「2016年版中小企業白書(第2部第3節)

もう一つ、警察庁が発表している気になるデータを紹介します。このデータによると、組織規模別でのセキュリティ対策初期費用は「100人未満」が平均190.6万円、「100~300人未満」が平均473.1万円、「300~1,000人未満」が722.0万円、さらに「3,000人以上」では平均3,415.9万円の費用がかかっています。

引用:警察庁「平成14年版 不正アクセス行為対策の実態調査(17.セキュリティ対策に係る費用)

気になる点というのは、組織規模が大きくなるほど、従業員1人あたりに対するセキュリティ対策初期費用が、安くなっていくということです。「100人未満」の規模で1人あたり約1万9,000円、「3,000人以上」の規模で1人あたり1万1,000円となります。

ここから、セキュリティ対策に対する費用は全体で考えるのではなく、従業員1人あたりで考えるという方法もあります。その際は、従業員1人に対し1万1,000円~1万9,000円の費用をかけることを、目安にするといいでしょう。

ただし、Webサイトセキュリティに関しては、従業員単位ではなく、公開しているWebサイト単位で考えるのが妥当です。

セキュリティ対策費用への考え方は

セキュリティ対策費用を検討する際に大切なことは、「いくら費用をかけるか」だけではありません。かける費用に対する「考え方」も非常に大切です。

その考え方とは、「セキュリティ対策は“コスト”ではなく”投資”だ」ということです。

まずはコストと投資の違いについて説明します。企業が活動していくための費用は、コストと投資、それと浪費に分けて考えることができます。 

  • コスト=費用とリターンが同等
  • 投資=費用よりもリターンが大きい
  • 浪費=リターンよりも費用が大きい

例えば小説を購入する際に、その内容を単純に楽しめたというのであれば、それはコストです。費用に対する、同等のリターンがあります。

内容を楽しんだ上で、さらにその小説の文体や構成を吸収し、ビジネス文書に活かすことができれば、費用よりもリターンの方が大きいのであればそれは投資となります。

読んだ上で面白くない上に何も吸収できなければ、それは浪費となります。

セキュリティ対策では、これから取り組む活動や導入するセキュリティシステムが、「コスト」になるか「投資」になるか、を考えることがとても重要です。この考え方を持つだけでも、セキュリティ対策に対する費用観念が大きく変わります。

ちなみにセキュリティ対策費用の多くは「投資」に分類されます。セキュリティ対策が無く、サイバー攻撃の被害に遭った際は直接的な金銭被害を受けるだけでなく、信用失墜や事後対応など、継続して様々な被害が発生します。

そこから考えるに、セキュリティ対策を講じるということは、企業にとって多大な損害を防ぐという目的があるため「投資」と考えるのが妥当です。

ちなみにITRの調査によれば、2016年4月~2017年3月におけるIT予算において、「増額」として企業が28.5%と前年を大きく上回っています。その中で、セキュリティ対策費用が占める割合は平均16.4%と、過去最高をマークしました。

引用:ITR 「ITRが「IT投資動向調査2017」の結果を発表

このデータから、企業のセキュリティ対策費用に対する考え方が、コストよりも「投資」であることがうかがえるでしょう。

セキュリティ対策費用を削減するためには

堅牢なセキュリティ対策を講じるためには、「費用を気にするな」という声もあります。しかし、運営上費用を気にしないというのは、中小企業にとっては難しい話です。やはり、セキュリティ対策費用は1円でも安くできるに越したことはありません。

セキュリティ対策費用を削減するためには、いくつか選択肢があります。まずは、OSS(オープン・ソース・ソフトウェア)のセキュリティシステムを利用することです。

OSSであればライセンス費用がかからないので、導入費用を抑えられます。ただし、システム運用負荷は通常のセキュリティシステム同様に存在するため、リソースが割けないという企業にはおすすめできません。

次の選択肢は、クラウドサービスで提供されているセキュリティシステムを導入することです。クラウドサービスとは、インターネット経由で利用できるサービスの総称であり、社内にインフラをと整える必要なくシステムを導入できます。

クラウドサービスは情報システムの分野で当たり前のように利用されているもので、現在ではほとんどの企業が、何らかの形でクラウドサービスを活用しています。

セキュリティシステムをクラウドサービスとして導入することで、導入費用は大幅に削減されます。サーバ調達は不要で、面倒なパラメータ設定も少ないため、迅速な導入が可能なのです。月々の契約料金は発生しますが、システム運用の負担がほとんどない、というのも、セキュリティ対策費用を削減する大きなポイントです。

このため、中小企業にとってクラウドサービスは、セキュリティ対策費用を削減するために有効な選択肢となります。製品によってはオンプレミス同様のセキュリティ対策を実現できるので、セキュリティ対策強化の面でも有効です。

また、まず対策が必要となるWebサイトセキュリティではクラウド型WAFを利用することで、導入や管理コストを抑えることも可能です。

まとめ

企業がセキュリティ対策にかける費用は、年々増加傾向にあります。この傾向は、情報の重要認識が高まる限り続くでしょう。さらに、堅牢なセキュリティ対策を講じていることが、一般消費者や取引先へのアピールにも繋がるので、そういった面でもセキュリティの重要さは増していくでしょう。

これからセキュリティ対策を講じるという企業は、今回紹介した内容をもとに、セキュリティ対策費用について考えてみましょう。