情報セキュリティ投資講座

情報漏えいに備えるセキュリティ投資の目安

井上真一
コンピュータ・アソシエイツ株式会社
2004/8/25

情報漏えい事故が多発している現在、企業には何らかの対策を施す必要がある。しかしながら、通常のIT投資と違っていわゆるROIでセキュリティ投資を考えることは難しい。この記事では、情報漏えいが発生した場合の被害額、または設備投資額など具体的な数字を参考にしながら最適なセキュリティ投資額を算出する。(編集部)



 情報セキュリティ管理を取り巻く状況

 個人情報保護法の全面施行が来年に迫ったいま、情報収集フェイズは終わり、セキュリティ対策実施が急務となってきた。セキュリティ対策の担当部門といえば、中小の企業では総務部や法務部、情報システム部が担当し、大企業ではCIO(最高情報責任者)が兼務している場合とCSO(最高セキュリティ責任者)が配置されている場合があるだろう。

 2000年以降ネットワークの発達により、セキュリティ管理の対象が、書類や入退出管理といった物理的な管理から、ネットワークを考慮した情報システム中心のセキュリティ管理へと変化してきている。株式会社ITRが調査した「国内IT投資動向調査報告書 2004」によると、CIOの役務が情報システム戦略の立案・執行や情報システムの開発・運用・管理、業務プロセスの改善・再構築だけでなく、ネットワークセキュリティの管理をも含むようになったという。

国内IT投資動向調査報告書 2004
http://www.itr.co.jp/inv_trend04.html

 この調査によれば、約4割のCIOがネットワークセキュリティの管理を統括している。この数値は前年比6ポイント増であり、このことからも情報システム部がセキュリティ戦略の中心となっていることがうかがえる。

 さて、このような状況において、情報システム部では経営に必要なセキュリティ対策を実施するに当たり、どのくらいの金額を投資すべきかが課題となっている。

 SFA、SCM、ERP、会計システムなどに代表されるいままでの情報システムのように、業務効率や売り上げ増、コスト削減といったROI(投資対効果)の観点ではセキュリティ投資は説明しにくい。リスクマネジメントの観点で説明できないこともないが、具体的な数字を使って説明されていないのが現状である。

 今回は、「直接被害額・間接被害額から見たセキュリティ投資」「設備投資・情報投資額から見たセキュリティ投資」「実際の保有設備から見たセキュリティ投資」といった3つの観点から、具体的な数字を使ってセキュリティ投資を考えてみる。

 直接被害額・間接被害額から見たセキュリティ投資

 実際に情報漏えいが起きたことを想定して、それに見込まれる損失を目安に投資額を検討してみる。新聞などで報道されたデータから直接被害額・間接被害額をまとめてみる。なお、直接被害とはお詫びの金券(とその配布費用)や記者会見費用など一次的に発生する損失である。一方、間接被害とは損害賠償請求が確定し、被害者全員にそれを支払った場合に発生する損失である。

企業名 発生時期 件数 内容 流出経路
TBC 2003年
5月
3万7000件 氏名、住所、電話番号、メールアドレス、職業、スリーサイズ、エステに関する相談ほか Web上で実施したアンケートなどを集計したCSVファイルを、Web上に閲覧可能な状態で置いていた
ローソン 2003年
8月
56万件 氏名、住所、性別、生年月日、電話番号ほか 社外開発委託先のコンピュータから抜き取られた可能性が高い
アプラス 2003年
8月
7万9000件 氏名、住所、電話番号、性別、職業、年収ほか 社外開発委託先から流出
ファミリーマート 2003年
11月
18万件 氏名、住所、メールアドレスほか 社外メール配信事業委託先から流出
ソフトバンクBB 2004年
1月
451万件 氏名、住所、電話番号、メールアドレスほか 内部関係者による持ち出し
表1 主な情報漏えい事故

 なお株価への影響であるが、財団法人日本ネットワークセキュリティ協会(JNSA)の「情報セキュリティインシデントに関する調査報告書(2002)」によると短期的には株価への影響はないとされている。しかし、これは情報漏えい後のCRM(顧客関係管理)がうまくいき、逆に同情または好感されている可能性があることも考慮に入れるべきだ。

情報セキュリティインシデントに関する調査報告書(2002)
http://www.jnsa.org/active1a.html

 直接被害額としては、被害者へのお詫びとして500円から1000円程度の金券を発行することが多い。これに記者会見設定費用など数十万円程度が計上されると考えられる。この結果、直接被害額は、被害者100万人以下の情報漏えいで10億円未満と想定される。

企業名 売上高
(億円)
直接補償額
(億円)
売り上げ比率 備考
TBC
411
0.1
0.03%
10人が損害賠償訴訟を起こす
(1人当たり115万円)
ローソン
2500
2.8
0.11%
全員に金券500円
アプラス
1063
0.8
0.07%
全員に金券1000円
ファミリーマート
9544
1.8
0.02%
全員にQUOカード1000円
ソフトバンクBB
4069
23
0.56%
全員に金券500円
表2 直接被害額の内訳

 一方、間接被害額については、宇治市住民基本台帳データ大量漏えい事件の判例などを基準にすると、損害賠償金額が1人当たり1万円程度である。TBCの情報漏えい事件では被害者の一部だけではあるものの1人当たり115万円の損害賠償を請求している。一般的に損害賠償額は1〜4万円が中心となっており、一般的な項目の情報漏えいであれば、損害額は数十億円である。また、重要な項目の情報漏えいの場合、損害賠償額は500億円程度に達する。ここでいうところの重要な情報とは与信情報など金融機関が保有する情報を指す。

企業名 売上高
(億円)
間接補償額
(億円)
売り上げ比率 備考
TBC
411
425.5
103.5%
115万円を全員に適用と仮定
ローソン
2500
56
2.2%
損害賠償額1万円と仮定して全員に適用した場合
アプラス
1063
7.9
0.7%
損害賠償額1万円と仮定して全員に適用した場合
ファミリーマート
9544
18.3
0.2%
損害賠償額1万円と仮定して全員に適用した場合
ソフトバンクBB
4069
40
1.0%
新聞報道による
表3 間接被害額の内訳

 結論からいえば、初期段階のセキュリティ投資として認められる金額は、一般的な項目の情報漏えいについては、直接被害だけを考慮に入れた場合10億円未満、間接被害も考慮に入れれば100億円未満といえる。なお、最終的な投資額は、企業利益の範囲内とのバランスを取ったものとなるだろう。

 また、重要な情報の漏えいの場合は、損害賠償金額がさらに大きくなる。このことを考慮に入れると金融機関など重要な情報を多く保有する企業の場合、上記の5〜10倍のセキュリティ投資が必要と考えられる。

 情報漏えい保険を使った補てんに必要な情報投資

 情報漏えい対策のセキュリティ投資として、直接被害金額だけを考慮に入れても投資額が10億円にもなると、実際には単年度予算として通すのが難しい可能性がある。この場合、個人情報漏えい保険も視野に入れて検討してみるべきだ。

 以前はこの種の保険は加入条件が厳しく、総務省が平成16年7月に発表した「情報セキュリティに関する実態調査」によると約95%の団体が加入していない。

情報セキュリティに関する実態調査
http://www.soumu.go.jp/s-news/2004/040705_2.html

 最近では、中小企業向けの個人情報漏えい保険が、損保ジャパンやニッセイ同和損保、AIU保険から発売されている。これらの保険は、簡単な告知書に回答するだけで加入可能であり、2000万〜4億円までの補償が可能である。もし個人情報漏えい保険に加入できるのであれば、被害額の一部を保険で補えるため、セキュリティ投資額を削減可能である。このため、これらの保険は発表直後、数十件の問い合わせがあり、加入者数も順調に伸びているという。

 こうした保険を利用するためには、引き受け条件に合致した体制や、最低限のセキュリティ情報システム(ファイアウォール、侵入検知システム(IDS)、ウイルス対策など)の導入が必須となっている。また、特定の機能を持つセキュリティ製品を導入することで、保険会社がリスク低減効果を評価してくれる。保険料の割引なども検討されているので、システムの選定に当たっては割引対象かどうかもセキュリティ投資額に影響することから1つの選定基準となるだろう。

 設備投資・情報投資額から見たセキュリティ投資

●企業売上高からのアプローチ

 前出の「国内IT投資動向調査報告書 2004」(ITR)によれば、情報化投資率は平均1.9%である。売上高別に見ると、売上高100億円以上で1.5〜1.7%、10億〜100億円で2.6%、10億円未満で3.6%と幅がある。投資対象は、ウイルス対策、ネットワークセキュリティが1位、2位を占めている。残念ながら、この資料ではこれらの割合は不明である。

 似たような調査で、経済産業省情報処理実態調査(平成14年、調査対象期間は平成13年4月1日〜14年3月31日)では、IT投資額は平均で売上高の1.3%となっており、そのうちのソフトの占める割合は約25%である。この資料から推測すると、売上高100億円程度の企業で3000万〜4000万円程度、売上高10億円程度の企業で1000万円程度がソフトに投資されている。この金額から、セキュリティソフトへの投資がなされることとなる。

経済産業省情報処理実態調査
http://www.meti.go.jp/policy/it_policy/statistics/jyojitsu.htm

●従業員数からのアプローチ

 JNSAがまとめた「情報セキュリティインシデントに関する調査報告書(2002)」によると、1人当たりの情報セキュリティ予算は、被害に遭わなかったグループが1万5991円なのに対し、被害に遭ったグループのそれは5327円にすぎず、約3倍の差があるという。また、企業規模が大きくなれば、1人当たりの投資金額は減る傾向があるとされており、これは企業売上高からのアプローチの情報投資率と合致する。

 以上を踏まえて、従業員数からのアプローチを考えると、1万5991円×従業員数が目安となるであろう。このことから、従業員数300人規模の企業で480万円程度、1000人規模の企業で1600万円程度、3000人規模の企業で4800万円程度が必要であろう。

 保有設備から見たセキュリティ投資

 保有設備に対するセキュリティ製品の導入という視点からセキュリティ投資を考えてみよう。保有設備とセキュリティ製品の適用数から製品投資額を算出し、情報投資におけるソフトの占有率から全体の投資額を推定してみる。

 保有設備の構成は、前述の個人情報漏えい保険の引き受け条件となる最低限のシステム(ファイアウォール、IDS、ウイルス対策)を基本に、サーバのアクセス管理を行うアクセスコントロールを付加した標準的な構成と、さらにスパム対策、脆弱性管理システム、資産管理(不正PC検出やライセンス管理など)を含めた理想的な構成で考えてみる。

 各セキュリティシステムと情報システムの構成の関係は次のように仮定する。

ファイアウォール:ノード数
ネットワーク型IDS:ネットワークセグメント数
ウイルス対策(クライアント導入タイプ):クライアント数
アクセスコントロール:サーバ数
スパム対策:メール/Webサーバ数
脆弱性管理:脆弱性管理サーバ数またはクライアント数
資産管理:クライアント数

 一方、各セキュリティシステムの費用は次のように仮定する。

ファイアウォール:50万〜300万円
ネットワーク型IDS:140万〜400万円/セグメント
ウイルス対策(クライアント導入タイプ):2000〜8000円/台
アクセスコントロール:50万〜150万円/サーバ
スパム対策:50万〜100万円/サーバ
脆弱性管理:300〜700円(1クライアント/1スキャン)
資産管理:200〜700円(1クライアント/月)

 一般的な企業ではメール、Web、DNSサーバ各1台以上に加えて部門サーバ、ファイルサーバが10〜50人(クライアント)に対し1台程度設置されていると考えられる。ネットワークについてはセグメント数が最低2〜3に分けられていると考えられる。

 総務省が平成16年7月に発表した「情報セキュリティに関する実態調査」によると上場企業の47.7%が1000台以上のクライアントPCを所有していることからモデルとして以下のような企業を想定する。

従業員:1000人
クライアントPC数:1000台
Webサーバ:2台
メールサーバ:2台
部門サーバおよびファイルサーバ:20台
ネットワークセグメント数:3
脆弱性スキャン:1スキャン/月
アセットスキャン:1スキャン/週

 この結果、ソフトなどにかかるコストは、標準的な構成で2000万円から6500万円程度、理想的な構成で3400万円から1億円程度が必要である(計算表はこちら)。

 情報投資におけるこれらソフトなどの投資比率は20〜40%程度である。つまりセキュリティ投資額の総計は標準的な構成で5000万円から3億2000万円前後、理想的な構成で8500万円から5億円前後になると推定される。

 なお、「情報セキュリティに関する実態調査」では上場企業で情報セキュリティ投資額を1000万円以上とする企業が24.8%と拡大している。この中でも1000万〜5000万円の伸び率が4.3%と最も著しく、次に1億円以上の伸び率が2%であることから、上記の推定は妥当である。

 通常のROIでは計算できないセキュリティ投資

 以上のように、被害額、情報投資、保有設備といった視点からセキュリティ投資を考えてみた。従業員数が1000〜3000人程度、売上額が10億〜100億円程度のモデル企業で考えると、最低限のセキュリティ投資は5000万円程度となる。このうち2000万円はセキュリティソフトの導入に費やすことになる。

 さらに個人情報漏えい保険を併せれば、6000万円程度のセキュリティ投資で、2億〜4億円程度の被害額をカバーできる。6000万円という額はモデル企業の経常利益の10%前後であることから、今年度の利益の一部をリスク対策として集中投資することも考えられる。

 標準的な環境を構築するためセキュリティ投資としては1億5000万円程度(うちセキュリティソフト2000万〜6500万円程度)が必要だ。なお、金融機関のような重要な情報を持つ企業であれば、理想的な構成のセキュリティ投資として2億円程度(うちセキュリティソフト8500万円程度)の投資が必要である。

 セキュリティ投資といっても、通常の情報投資のようなROIを求めていては、本来のセキュリティが確保できない。また、セキュリティマネジメントは、いままで総務や法務、人事の仕事であったが、情報が紙から電子データになることにより、情報システム部の存在が重要になってきた。このため、従来の情報システム部から情報セキュリティ&システム部への転換を図るうえでも、セキュリティ投資とセキュリティマネジメントシステムの提案をCEO(最高経営責任者)やCOO(最高執行責任者)と呼ばれる経営層にしてもらいたい。

 

関連リンク
  個人情報漏えいが発生したらどうすべきか?
  個人情報保護法(セキュリティ用語事典)
個人情報保護法がもたらすビジネスへの影響は (情報マネジメント)
  インターネットは個人情報の敵? (情報マネジメント)
職場における電子メールとプライバシー (情報マネジメント)
求められるオンラインでの個人情報保護対策 (NewsInsight)
「個人情報保護法」時代のセキュリティ対策 (NewsInsight)


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間