セキュリティ投資には2つの性格があります。1つは「耐震補強」のような事前防御で、セキュリティ製品の導入や認証の強化など、攻撃を未然に防ぐための支出がこれにあたります。
もう1つは「火災保険」のような事後への備えで、バックアップの整備やサイバー保険の加入など、被害が出たときの回復を早める支出が含まれます。経営会議で「うちはどちらに偏っていて、どちらが不足しているか」を話し合うだけでも、投資配分の見え方が変わります。
まず「被害の棚卸し」から始めよう
被害額の見積もりと聞くと高度なリスク分析を想像するかもしれませんが、最初のステップはシンプルです。まず次の3つの数字を確認してみてください。
● 自社の1日あたり売上高(システム停止時の損失の基準になる)
● 過去に外部委託したIT関連の緊急対応の費用実績(復旧コストの目安になる)
● 自社が保有する個人情報の件数(顧客対応コストの見積もりに使える)
過去に緊急対応を委託した経験がない会社は、この機会にインシデント対応サービスを提供する事業者から1社、事前の概算見積もりを取っておきましょう。
事前見積もりを1本持っているだけで、復旧コストの目安が立てられ、いざというときの初動も早くなります。攻撃を受けてから業者を探すのは、火事になってから消火器を買いに走るようなものです。
この3つの数字は、それぞれ費目1(事業停止による売り上げ損失)、費目2(調査・復旧費用)、費目4(顧客対応コスト)に直結します。
これだけで5つの費目のうち3つの桁感がつかめれば、残る費目3(法務・広報)と費目5(信用毀損)は概算で十分です。「億単位になりそうだ」「数千万円は覚悟が要る」という粒度でも、経営として判断できる比較軸は生まれます。
まずは次の経営会議で、算出できる費目について「自社ならいくらかかるか」を話し合ってみましょう。比較軸さえ持ち込めれば、「効果が見えない」という議論から一歩進むことができるはずです。
