中小企業のリアルとセキュリティ

「セキュリティ投資の『目安値』をどう使うか」
日本サイバーセキュリティ・イノベーション委員会(JCIC)が「企業規模・業種別に見るセキュリティ投資・人員数の目安値」を公表しました。これまで曖昧だったセキュリティ投資を「数値」で示したレポートです。
今回のコラムでは、このレポートから得られる中小企業のセキュリティへの考え方をまとめてみました。

レポートの対象企業規模は大企業(年間売上1,000億円以上)、中小企業(年間売上100億円～1,000億円)ですので、年間売上100億円未満の中小企業でできることを考えなければなりません。

(出典：日本サイバーセキュリティ・イノベーション委員会(JCIC))

売上高に対する投資比率、従業員数に対するセキュリティ人員比率は、感覚ではなく、比較可能な物差しを提示しています。
例えば、セキュリティ投資は売上比で0.1%～0.6%、セキュリティ人員比率は従業員の0.2%～0.8%が一つの水準とされています。(業種によって異なる)
仮に売上100億円の中小企業であれば、年間3,000万円ほどのセキュリティ投資、従業員500名なら1名程度の人員配置という計算になります。

ここで、中小企業の現実に目を向け、売上20億円、従業員100名の企業規模とするとセキュリティ投資は600万円でセキュリティ人員は1名未満になりますので、兼任ということになります。
目安値を当てはめれば、「圧倒的に不足」という結果になってしまいます。

重要なのは「足りないこと」そのものではなく、「どれだけ足りていないかを説明できるかどうか」です。

サプライチェーン強化の流れの中で、大企業は取引先のセキュリティ体制にも目を向け始めています。SCS評価制度(解説コラムはこちら)の議論が進めば、「対策をしているか」だけでなく、「どの水準で管理しているか」が問われる可能性が高くなります。
そのときに「中小企業なので人がいません」ではなく、「JCICの目安では従業員比0.2％が一つの水準。当社はセキュリティ専任の従業員はいませんが、外部SOCとCISO支援で補完している」と説明できればどうでしょうか。

それは「セキュリティ予算が少なくセキュリティ人材のいない会社」ではなく、「セキュリティを設計している会社」になります。
JCICの数値は、大企業向けの基準であると同時に、中小企業にとっては不足を可視化するガイドラインといえます。
到達できない水準を嘆くための数字ではなく、不足を把握し、内製と外部活用をどう組み合わせるかを設計するための数字ととらえることが重要なのです。

専任が置けないなら外部CISOを使う。
SOCを内製できないならマネージドサービスを使う。
教育を内製できないなら外部研修を使う。

中小企業が目指すべきは、大企業並みの体制ではなく、自社規模に合わせて設計された体制であることがご理解いただけたでしょうか。

サプライチェーンリスクへのセキュリティ強化において問われるのは、完璧さではなく説明責任なのです。