標的型攻撃の存在によって、あらためて外部からのセキュリティ脅威に関心が高まっている昨今だが、国内企業のIT部門関係者に実際に話を聞いてみると、攻撃に対する危機意識や現実的な対策状況にはかなりバラツキが感じられる。
「我が社には狙われるようなデータなど存在しない」といった根拠のない楽観論や、「対策を打ちたいが、経営陣がセキュリティの重要性を理解してくれない」といった嘆きの声を耳にする機会も多い。その背景を探ると、ビジネスの3要素である「ヒト・モノ・カネ」それぞれの面についての課題が、企業セキュリティの分野にも根深く存在していることがうかがえる。
J-SOX後に減少をたどったセキュリティ予算
まずは「カネ」の問題である。ITRが毎年実施しているIT投資動向調査では、IT予算に占める情報セキュリティ対策費用の割合を定点観測しているが、2011年度は全体平均で12.5%であった(図1)。大手製造業や防衛関連企業に対する標的型攻撃の被害が大きくクローズアップされたことにより、さすがに2011年度は前年度の比率を上回ったが、2010年度までの5年間を見ると、一貫して下降線をたどっている。
このように、近年、セキュリティに対する投資が抑制されてきたことは、これまでのセキュリティ対策が「コンプライアンス」に過度に傾注していたことと無関係ではない。2005年に全面施行となった個人情報保護法、2009年3月以降の決算期から適用されたJ-SOX(金融商品取引法が求める内部統制報告制度)と、国内企業における2000年代のセキュリティ対策は、絶えず法令のかたちで政府によって道筋がつけられてきたといえる。これはつまり、IT部門にしてみれば、セキュリティを巡る現状分析や各社固有のリスク、導入効果の判断などを行うことなく、投資の説明がつけられたということでもある。そう考えれば、法令対応に一定のめどがついた2000年代終盤に、セキュリティ予算比率が大きく下がったこともすんなりと納得することができよう。
法令という強い拠りどころがなくなった今日において、セキュリティ対策の必要性を経営者やステークホルダーに納得させ、継続的な投資を行っていくことは、多くの企業にとって、決して容易なことではない。効果的な対策を打つための大前提として、IT部門はセキュリティ対策に必要な原資をどのように調達するかという戦略を描く必要がある。
