「適切なセキュリティ予算」はどのように見積もればよいのか？：賢い「セキュリティ予算」獲得術【第2回】（2/2 ページ）

セキュリティ予算が不足しているかどうかは、適切なセキュリティ予算が何かを把握しなければ厳密には判断できない。では「適切なセキュリティ予算」とは、そもそも何なのだろうか。

[藤井仁志，EYアドバイザリー・アンド・コンサルティング]

現実的な「適切なセキュリティ予算」の見積もり手法

　リスクの特定、分析、評価という前述の手順を踏むことで、

• 組織として対処すべき攻撃シナリオ
• セキュリティ対策の全体像
• 個別のセキュリティ対策の位置付け・狙い

を説明できるようになる。セキュリティ対策に必要な予算は、これらに対する要求事項を予算獲得の目的（概算要求、案件承認、執行承認など）に応じて詳細化し、相見積もりにより妥当性を確認することになる。

　組織は洗い出したリスクに対して、許容できるリスクの基準ごとに「回避」「低減」「転嫁」「受容（保有）」といったアクションを取ることになる。受容できないリスクについて、そのリスクを基準内に収めるためのセキュリティ対策に必要な予算は、必ず獲得すべきだ。例えば以下の対策は、十分な予算を獲得しなければならない。