「セキュリティ予算不足」はなぜ解消されないのか？ 調査結果から探る：賢い「セキュリティ予算」獲得術【第1回】（1/2 ページ）

セキュリティの脅威が高度化する中、国内組織は十分な対策を施すための予算を獲得できているのか。国内組織とグローバル組織の予算獲得状況に違いはあるのか。調査結果を基に見ていく。

[藤井仁志，EYアドバイザリー・アンド・コンサルティング]

国内組織のセキュリティ予算の実態とは

　セキュリティ対策の重要性が叫ばれているが、国内の企業や組織（以下、組織）は十分なセキュリティ予算を獲得できているのだろうか。その予算は世界の組織と比べて、どの程度の水準にあるのか。ソーシャルメディア、モバイル、ビッグデータ、クラウド、IoT（モノのインターネット）といった新テクノロジーがもたらす新たなセキュリティリスクに対して、適切な備えができているのだろうか。

　本連載は、グローバルと国内の組織を対象にした情報セキュリティ調査「EYグローバル情報セキュリティサーベイ」（GISS：EY Global Information Security Survey）の結果を基に、国内組織のセキュリティ予算獲得状況と将来の見込みを示し、そこから見えてくる課題を整理する。GISSは、EYとEYアドバイザリー・アンド・コンサルティング、新日本有限責任監査法人が毎年実施している調査だ。本稿ではその最新版（以下、GISS2017-18）の結果を参照する。

併せて読みたいお薦め記事

セキュリティ予算の実態

• 情報セキュリティ予算は増加傾向だが6割は「年間予算無し」――IDC調査
• 「セキュリティ予算の7割がウイルス対策とファイアウォール」は時代遅れなのか？
• 予算がなくても最低限やってほしい、学校のセキュリティ対策「3つのポイント」

もう1つの問題「セキュリティ人材不足」

• 「女性セキュリティ担当者」が増えない理由は“白人男性至上主義”にあり？
• 機械学習が「セキュリティ人材不足」解消の“特効薬”になる？

インシデント感度が低下する国内企業

　2017年も、組織や個人に対するセキュリティの脅威が、数多く明るみに出た。ITやセキュリティの専門メディアのみならず、一般紙がその被害を報じることも珍しくなくなった。以下のインシデント（セキュリティ事件／事故）は、セキュリティ専門家でなくても記憶に新しいところだろう。

• 海外大手ポータルサイトでの30億アカウント以上という大規模な個人情報の漏えい
• 海外のみならず国内組織にも被害を広げ、“史上最大”のランサムウェア（身代金要求型マルウェア）攻撃と言われた「WannaCry」
• 国内企業を標的に巨額の不正送金詐欺を招いた「ビジネスメール詐欺」（BEC）

　一方で気になるデータがある。GISS2017-18で「重大なインシデントは発生していない」と回答した組織は、グローバル組織では43％だったのに対し、国内組織では69％と顕著な違いがあったことだ。この回答を素直に見れば、国内ではグローバルと比べて、重大インシデントの発生組織数が少ないことになる。だがサイバー攻撃のグローバル化が進む今、ここまで大きな差が生まれるとは考えにくい。むしろ「国内組織はインシデントに関する感度が低下しているのではないか」という懸念を持つのが自然だ。

　サイバーセキュリティ攻撃は組織化やビジネス化が進み、ますます高度化し洗練されてきた。その結果、組織は攻撃を受けたことを認識しにくくなり、攻撃発生から認識までの期間が長期化している。経済産業省もこうした状況を踏まえ、経営者向けの「サイバーセキュリティ経営ガイドライン」を改定した。2017年11月に公開したバージョン2.0は、経営者が認識すべき「3原則」を従来版から維持しつつ、「検知」「復旧」といった事後対策の強化に触れ、国際的なガイドラインとの整合性を確保した。「事前対策だけでは昨今のサイバー攻撃に対処することが困難」との認識に基づいた変更だといえる。

セキュリティ予算不足に直面する国内企業

　セキュリティ対策がますます難しくなる中、国内組織は、その活動に必要な予算を獲得できているのだろうか。参考になるのが、民間企業のIT活用状況を調べた経済産業省の年次調査「情報処理実態調査」だ。この2016年版（2017年3月発表）の結果によると、IT関係支出総額に占める情報セキュリティ対策費用の割合は、国内組織の全業種平均で2.6％。年間事業収入100億円以上の企業では2.6％、100億円未満の企業では6.8％となっている。

　この予算規模で十分かといえば、そうとはいえない。