セキュリティと「費用対効果」
- tw-sales
- 11月18日
- 読了時間: 3分
「費用対効果って、どれくらいあるの?」
ITツールやDXの話になると、よく聞くキーワードですよね。
たとえば・・・
業務効率化ツールを入れて人件費が減った
ペーパーレス化でコストも手間も削減できた など
ただ、セキュリティ対策の話となると事情が少し変わります。
というのも、セキュリティ対策は「入れたら売上が増える」タイプの投資とは考えられにくいのです。
導入したことでどんな良い変化があったのか
本当に必要なのか
効果はどれくらいなのか
こういった部分が、セキュリティ対策では可視化されづらいとされ、「お金もかかるし、今は困ってないから…」と、後回しにされるケースもあると聞きます。
中小企業の33%は「セキュリティに一切投資していない」
実際に、IPA(情報処理推進機構)の調査では、中小企業の33%が「セキュリティに全く投資していない」 と回答しています。
特に100名以下の小規模企業では、この割合はさらに高まります。
そして、セキュリティへ投資をしない理由の多くは「費用対効果」への疑問です。
実際、IPAの調査では、「コストが高い」「費用対効果が見えない」「必要性を感じていない」といった理由が、多くを占めています。
出典 : 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書
一度の攻撃の被害額 シミュレーションしてみましょう
セキュリティと費用対効果への疑問視は、かなり根強いことがわかりましたね。
確かに、セキュリティ投資は一見「コスト」にも見えますが、実際は被害額(リスク)を減らすための保険的な投資です。
そこで一度、こんな視点で考えてみるのもいいかもしれません。
「もし自社が攻撃されたら、被害額はいくらになるのか?」
ではその被害額、早速シュミレーションしてみましょう。
IPAが公開しているExcelシートを使うと、企業規模や現在の対策状況など、10項目ほどに答えるだけで、あなたの会社がサイバー攻撃にあった場合の損害額が算出できます。
興味本位で試すのもよし、経営層への説明材料に使うのもよし。
費用対効果の見えにくいセキュリティ対策を、数字で実感できるツールです。
被害額算出シート
ちなみに、サイバー攻撃を受けた企業の実際の復旧費用として「1,000万円以上〜5,000万円未満」 が最も多いという結果も出ています。
中には1億円前後の損失を被ったケースもあるよう。
業務停止、顧客対応、システム復旧、外部専門家の対応費、信頼低下・取引停止リスク。
これらを合計すると、一度の攻撃で莫大な損害が発生することも珍しくありません。
費用対効果の議論が難しいと言われるセキュリティですが、“被害額という視点” から見ると、必要性への見方も変わるかもしれませんね。
【参考情報】
