「適切なセキュリティ予算」はどのように見積もればよいのか？：賢い「セキュリティ予算」獲得術【第2回】（1/2 ページ）

セキュリティ予算が不足しているかどうかは、適切なセキュリティ予算が何かを把握しなければ厳密には判断できない。では「適切なセキュリティ予算」とは、そもそも何なのだろうか。

[藤井仁志，EYアドバイザリー・アンド・コンサルティング]

セキュリティ予算の基本的な考え方を整理

　第1回「『セキュリティ予算不足』はなぜ解消されないのか？　調査結果から探る」では、グローバル組織と国内組織を対比しながら、セキュリティに対する予算の獲得状況や、十分な予算獲得を阻む要因について概観した。

　第2回では「適切なセキュリティ予算」とは具体的に何であり、どのように考えるべきなのかを整理する。第1回に続き、グローバルと国内の組織を対象にした情報セキュリティ調査「EYグローバル情報セキュリティサーベイ」（GISS：EY Global Information Security Survey）の最新版（以下、GISS2017-18）の結果を参考にした。

併せて読みたいお薦め記事

賢い「セキュリティ予算」獲得術

• 「セキュリティ予算不足」はなぜ解消されないのか？　調査結果から探る

セキュリティ予算の実態

• 情報セキュリティ予算は増加傾向だが6割は「年間予算無し」――IDC調査
• 「セキュリティ予算の7割がウイルス対策とファイアウォール」は時代遅れなのか？
• 予算がなくても最低限やってほしい、学校のセキュリティ対策「3つのポイント」

「適切なセキュリティ予算」の基本的な考え方

　適切なセキュリティ予算とは、適切なセキュリティ対策の導入や運用に必要となるお金のことだ。では「適切なセキュリティ対策」とは何を指すのだろうか。これを考えるには、まず組織が対処すべきセキュリティのリスクについて考える必要がある。具体的には、情報セキュリティマネジメントシステム（ISMS）などのセキュリティガイドラインが提唱する以下の手順を踏むことになる。

1. 何を守るのかを整理する「リスクの特定」
2. どのような脅威・リスクから守るのかを整理する「リスク分析」
3. リスク分析の結果に基づく必要な対策を踏まえた上での「リスク評価」

　それぞれの手順での勘所を説明する。

リスクの特定

　リスクの特定は、情報資産を洗い出して各資産の管理責任者を特定し、各資産の損失や損害を引き起こす脅威と、各資産に潜む脆弱（ぜいじゃく）性を明確化することを指す。組織は各資産のリスクを特定し、そのリスクに応じたセキュリティ対策を取り、組織が許容できる基準にまでリスクを抑えることになる。

　情報資産や、そのリスクの特定は容易ではない。コピーや加工の容易さから情報資産の“亜種”が散在しやすいこと、情報資産の価値が時間とともに変化することが、その主な原因だ。情報資産やリスクを十分に特定できていないと、情報資産の区分によらずにセキュリティ対策を検討しなければならなくなり、セキュリティ予算が膨らむ一因になる。時間軸も加味した上で、情報資産とその価値の変化を精査することが求められる。

リスク分析

　リスク分析は、リスクの発生頻度とリスクが顕在化した際の影響度を分析することだ。リスクの発生頻度と影響度は、以下に示す情報セキュリティの3要素「機密性」「完全性」「可用性」のそれぞれに対して定義する。

• 機密性
  • 認められた人だけが情報資産を利用できるようにすること
• 完全性
  • 情報資産が不正に変更されないようにすること
• 可用性
  • 必要なときに情報資産を利用できるようにすること

　どのレベルまでのリスクを挙げればよいのか分らないまま、思い付くままリスクを挙げてしまっている例をよく目にする。こうした状況を招かないための対策は、攻撃者を理解することだ。架空の攻撃者像である「ペルソナ」（表）を定義し、各ペルソナについて以下の項目を整理する。ペルソナが明確であれば、考慮すべきリスクが明確になりやすい。