令和４年度中小企業サイバー
セキュリティ対策継続支援事業

セキュリティの対策をどこまでお金をかけて実施するのかと悩まれている担当者の方は多いのではないでしょうか？リスクを低減するために対策を行っていきますが、かけられる予算は無限ではありません。効果的に予算を投資していくことが重要です。

Point①　セキュリティ対策予算の確保

必要な予算を確保しておくことは、サイバーセキュリティリスク管理において重要です。サイバーセキュリティ経営ガイドライン内でも、「サイバーセキュリティ経営の重要１０項目」の中の「指示３ サイバーセキュリティ対策のための資源（予算、人材等）確保」が定められています。

対策を怠った場合のシナリオ

1. 適切な予算確保が出来ていない場合、組織内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部のベンダへの委託が困難となる恐れがある。
2. 適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

対策例

1. 必要なサイバーセキュリティ対策を明確にし、それに要する費用を確保する。
2. 従業員向けやセキュリティ担当者向けなどの研修等のための予算を確保し、継続的に役割に応じたセキュリティ教育を実施する。
3. サイバーセキュリティ人材を組織内で雇用することが困難な場合は、専門ベンダの活用を検討する。
4. 組織内の IT 人材育成の戦略の中で、外部人材の採用も含めた社内のセキュリティ人材育成 、キャリアパスを設計検討する。
5. 自組織においてセキュリティ人材の育成が困難な場合は、外部の組織が提供するセキュリティ研修等の活用などを検討する。

出典：経済産業省
サイバーセキュリティ経営ガイドライン Ver2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide2.0.pdf

Point②　費用を明確にする

サイバーセキュリティリスク管理体制を構築、維持するためには予算を確保しますが、大きく以下の３種類に分類されます。

1. 事前対策費用（対策のための製品の調達費用、人材育成費用等）
2. 対策運用費用（監視や予防の業務に要する費用、製品の保守費用等）
3. 事後対策費用（インシデント対応費用、再発防止対策費用等）

サイバーセキュリティ対策に関する予算や人員計画は、経営会議など経営層の意思決定の場で承認されるべきことです。ビジネスへの影響を踏まえたサイバーセキュリティ対策の検討結果を CISO 等が経営会議などの場に提示し、実施する対策の内容、時期、費用等が適切かどうかといった項目を検討し、経営層の承認を得る必要があります。

出典：IPA（独立行政法人情報処理推進機構）
サイバーセキュリティ経営ガイドライン 解説書 Ver.1.0
https://www.ipa.go.jp/files/000056148.pdf