セキュリティ対策予算、中小企業はIT投資の10%が適切?深堀りして考えてみよう
中小企業のセキュリティ対策は、なぜ重要なのか?
近年、サイバー攻撃はますます巧妙化し、中小企業も例外なくその標的となっています。特に、サプライチェーンを攻撃する手法が増えているため、中小企業のセキュリティ対策は重要性を増しています。大企業のサプライチェーン内に組み込まれている中小企業は、攻撃の足掛かりとして利用されるリスクが高く、結果として自社だけでなく取引先にも大きな損害を与える可能性があります。個人情報漏えいやシステムダウンによる業務停止は、企業の信用失墜だけでなく、経済的な損失にもつながる深刻な問題です。
「でも、うちのような小さな会社は大丈夫だろう」と考えていませんか?残念ながら、中小企業はむしろ攻撃者から見れば格好の標的になりやすいのです。なぜなら、大企業に比べてセキュリティ対策が不十分なケースが多く、また、攻撃に成功した場合の損害も比較的少ないと考えられているからです。
中小企業のセキュリティ対策予算、どこまでかけるべきか?
「セキュリティ対策にはIT投資の10%程度を費やすべき」という話を聞いたことがあるかもしれません。確かに、大企業ではそのような考え方で予算が組まれるケースもありますが、中小企業においても同様の割合で予算を確保できるでしょうか?
本記事では、この疑問を深堀りし、中小企業がセキュリティ対策にどれくらいの予算を割くべきか、具体的な事例やデータに基づいて解説していきます。
中小企業のセキュリティ対策予算、IT投資の10%は現実的か?
1. なぜ10%という数字が出てくるのか?
IT投資の10%をセキュリティに充てるという考え方は、サイバー攻撃の脅威がますます高まる中、企業はセキュリティ対策を経営課題として捉えるようになりつつあることや、ビジネスサイドからは、セキュリティ対策にを行うためのソリューションがたくさん出てきていることから、特に特に大企業を中心に、IT投資の10%程度を目安とするという考えの基準ができつつあると考えます。
2. 中小企業のセキュリティ対策予算を聞いてみた
では、中小企業がセキュリティ対策にどの程度の予算を割くべきでしょうか。企業ごとに意識やお財布事情も異なるため一律の答えはありません。ただし、他社がどの程度の費用をかけているかを知っていることは参考になるはずです。
そこで、USEN ICT Solutionsでは、自社のインサイドセールスチームを活用し、全国の中堅・中小企業を対象に、「IT予算のうち、10分の1くらいがセキュリティ予算にかけていると言われるが自社はどの程度か?」をヒアリングしてみました。
IT予算のうち、10分の1くらいがセキュリティ予算にかけていると言われるが自社はどの程度か?
上記の通り、「それくらいだと思う」と「もっとかけていると思う」の合計は半数を上回りました。
この結果から、中堅・中小企業の間でも半数以上の会社が、IT投資の中からおおよそ10%程度をセキュリティ投資に向けていることが分かりました。
3.10%も予算を充てられない場合でもあきらめない
予算やセキュリティ知識の不足から、中小企業にとって、IT投資の10%をセキュリティに充てることは、必ずしも現実的ではない会社もいらっしゃると思います。予算や知識が不足していてもできる対策もあります。
最低限の対策として以下の対応をお勧めします。
リスクアセスメントの実施
自社の抱えているリスクを具体的に把握し、優先順位をつけて対策を進めることが重要です。その把握のためにはIPA(情報処理推進機構)が公開している中小企業のセキュリティ対策を参考にすると良いでしょう。
従業員へのセキュリティ教育
IPAが毎年発表する「情報セキュリティ10大脅威」に上がっている脅威のうち、半分以上は従業員のセキュリティ意識の向上により予防することができるものです。定期的な教育を実施し、セキュリティ意識を高めることが重要です。
最低限の対策ツールは必須
ファイアウォール、ウイルス対策ソフトの導入、など、会社とインターネットの境界や、PCのセキュリティ対策を実施し、また定期的なソフトウェアアップデートを行うことは必須です。
中小企業がセキュリティ対策にどれくらいの予算を割くべきか、一概に決めることはできません。重要なのは、自社の状況を正確に把握し、最適な対策を講じることです。
IT投資の10%という数字にとらわれず、また、費用をかけて対策することにとらわれず、自社の抱えているリスクと、そのリスクを軽減するための手法をしっかりと検討することが大切です。