経営層｢セキュリティ投資って本当に必要？｣→被害コストを5つに分解すれば会議で通る！懐疑的な人に"数字"で示すコツ

この5つの費目それぞれに「自社ならいくらか」を当てはめてみることで、正確な金額でなくても桁の感覚がつかめ、投資額と比較する土台ができます。

｢被害額｣と｢投資額｣を並べて見る習慣をつける

5つの費目を並べると、規模感は決して均等ではありません。実際の被害事例では、5つ目の信用毀損が最も大きな割合を占めることが多く、目に見える復旧費用よりも長く尾を引きます。

この重み付けを念頭に置いたうえで、5つを合算した被害想定額と現在のセキュリティ投資額を並べてみましょう。内閣サイバーセキュリティセンター（NISC）も、経営者向けの資料の中で、被害想定額と投資額の比較によるROIの考え方を示しています。

例えば、被害想定額が3億円で、セキュリティ投資が年間3000万円であれば、投資額は被害想定額の10分の1です。この投資でインシデントの発生確率を大きく下げられるなら、十分にリターンがある投資と判断できます。

逆に、被害想定額が5000万円なのに投資額が1億円であれば、投資水準を見直す余地があります。

中小企業の場合、発生確率まで精緻に見積もるのは現実的ではありません。まずは桁感を揃え、「投資額と被害想定額の金額感が近いかどうか」を確認するだけでも、感覚的な議論から大きく前進します。

経営層に提示する際は、同業他社の被害事例を2〜3件添えると、確率を厳密に出さなくてもリスクの実在感が伝わるでしょう。

次ページが続きます：
【まず｢被害の棚卸し｣から始めよう】