サイバーセキュリティの必要性は、ほとんどのITリーダーにとって明白です。しかし、多くの小規模企業にとって、十分な予算を正当化することは容易ではありません。結局のところ、自社がまだ攻撃を受けていないのであれば、新しいツールやサービスを追加する必要がないと考えてしまうのではないでしょうか。 

実際には、それはまったくの誤解です。サイバー犯罪者やハッカーのスキルや手法が進化すると、昨日まで彼らを阻止していたツールが今日では同じように効果を発揮するとは限らないのです。そして残念なことに、組織の規模や知名度に関係なく、あらゆる組織がサイバー攻撃の標的になり得ます。一部の攻撃者は、サイバー防御が弱い企業を簡単に悪用できることに気づいているため、多くの小規模組織は実際には相対的に高いリスクに直面しています。

それを踏まえ、組織は、継続的にビジネスを守るために、自社のサイバーセキュリティ戦略とツールセット(そしてひいてはその予算)を時間とともに進化させていく必要があることを理解しておくことが重要です。

サイバーセキュリティ予算にはいくら充てるべきか

組織がサイバーセキュリティ予算にどれだけの資金を投入すべきかについて、明確な答えはありません。この金額には大きな幅があります。組織が直面するリスクのレベルは、企業の規模、業界、コンプライアンスや規制上のニーズ、収集および保存されているデータ、およびクライアントやパートナーからの要求によって異なるためです。

例えば、患者の健康データを取り扱い、HIPAA(医療保険の相互運用性と説明責任に関する法律)などの政府規制へのコンプライアンスを維持する必要がある小規模な医療機関では、堅牢なツールやテクノロジーに投資することが賢明だと考えるかもしれません。一方、オンラインでの取引が比較的少ない小規模な自動車修理工場では、Eメールシステムと顧客データベースを保護するための基本的なツールセット以上のものは必要ないかもしれません。

一部の専門家は、一般的な目安として、IT予算全体の5~20%をサイバーセキュリティに投資することを提案しています。この資金は、ソフトウェア購入やモニタリングサービスから、ITスタッフのスキルアップや従業員のサイバーセキュリティ意識向上トレーニングまで、幅広いサイバーセキュリティ関連アクティビティのサポートに使用できます。

それが自社にとって新たな支出、あるいは支出の増額となる場合、経営陣との話し合いに備えるために実施できる4つのステップをここに紹介します。

詳細

新しい人材のオンボーディング、新しいツールの導入、従業員向けトレーニングプログラムの開発、さらには侵害発生時に備えた資金の確保のために、追加の資金を獲得するためのヒントやアイデアをお探しですか。ITリーダーがサイバーセキュリティ予算の増額の正当性を主張する際に役立つ、有益な思考のきっかけ、考慮事項、ヒントを学ぶことができます。

記事:SMBのサイバーセキュリティ予算の増額方法

サイバーセキュリティ予算の策定方法

ステップ1:現在のサイバーセキュリティ予算を見直す

現在のサイバーセキュリティ予算の増額を正当化するための最初のステップは、組織のニーズとリスクの文脈の中で予算を見直すことです。このプロセスの一環として、ITリーダーは次のことを行うことができます。

  • 既存のセキュリティ製品やサービスの棚卸しを行い、関連するコストを確認する。
  • これらのツールのパフォーマンスの証拠を示すデータ(ブロックされた攻撃数や検知された脅威数など)を収集する。
  • 既存のツールセット内で、セキュリティを強化できるギャップを特定する。これには、コンピューターの更新やパッチ適用といった重要だが定型的なアクティビティを自動化するツール、ITスタッフや従業員向けのトレーニングの機会、組織が遵守しなければならない新しい規制などが含まれる可能性があります。

組織はこの監査を、既存のツールやソフトウェアの更新と重ならないタイミングで定期的に実施することが理想的です。これにより、ITチームと会社のリーダーは、差し迫った期限に影響されることなく、ビジネスにとって最善の意思決定を行えるようになります。

ステップ2:既存のツールセットを最適化する

チームが監査を完了したら、既存のツールセットを再検討し、既存のカバー範囲を強化したり、現在のテクノロジーとのギャップに対処したりするために調整できる点がないかを判断します。これは、新しいツールへの支出の必要性を減らすだけでなく、セキュリティツールセットの複雑さを軽減することにも役立ちます。なぜなら、新しいツールは既存のアーキテクチャに統合する必要があり、さらにスタッフによる管理も必要になるからです。

信頼できる評判の良いセキュリティベンダーの多くは、クライアントと面談してツールの能力や機能を定期的に見直し、製品の機能を最大限に活用できているか、またそれらのツールを適切にセットアップおよび構成しているかを確認します。

ステップ3:コンプライアンスを含む、満たすべき新しい要件を整理する

ステップ1と2を完了した後でも、セキュリティ戦略の中にまだ対処すべきギャップが残っている場合、ITリーダーはそれらの要件と、それらに対処するために実装すべきツールまたはプロセスを整理する必要があります。

顧客の機密データ、個人の医療情報、銀行詳細に関する政府規制の遵守など、いくつかのギャップは必ず遵守しなければなりません。さもなければ、企業は間違いなく重大な法的および財務的結果に直面することになります。

新しいトレーニングコースの導入による従業員間のサイバーセキュリティ意識向上といった他の問題については、必要性がそれほど明確でも緊急でもないかもしれません。こうした場合には、ITリーダーは、過去のイベントやアクティビティを文書化し、そのようなプログラムの必要性を立証してそのコストを正当化する必要があります。覚えておいてください。多くの場合、セキュリティプログラムのコストは、侵害を受けるよりもはるかに経済的です。ビジネスへの支障も少ないことは言うまでもありません。

ステップ4:リスク評価を実施する(規模、業界、製品に基づく)

組織によっては、リスク評価を実施することが理に適っている場合があります。リスク評価とは、コンピューター、携帯電話、顧客データ、IP、その他のアセットなど、サイバー攻撃の標的となり得るあらゆるものを特定する、ビジネスの完全な監査です。サイバーセキュリティの専門知識が限られているITチームにとっては、サイバーセキュリティベンダーと提携してこの評価を実施し、最もリスクの高い領域を特定することが役立つかもしれません。

すべての小規模企業にリスク評価が必要なわけではありませんが、侵害やサイバー攻撃がより一般的になるにつれ、大口のクライアントやパートナーが契約プロセスの一環としてそのような監査を要求する場合もあります。(これは、ベンダーやパートナーに影響を与えるリスクが、クライアントにもリスクをもたらす可能性があるためです。)そのため、企業は年度中に必要が生じた場合に備えて、予算内に資金を確保しておくことを検討する必要があります。

その他の考慮事項:

採用

組織がサイバーセキュリティ戦略を再検討する中で、これらの新しい要件を監督するのを助ける人材が必要だと判明する場合があります。そのような場合には、その職務の責任や人物に求められる経験とスキルの概要をまとめるために、サイバーセキュリティパートナーに協力してもらうと有益かもしれません。

世界中でサイバーセキュリティの人材が不足している状況を念頭に置くことが重要です。そのため、企業によっては、社内運用体制を構築するよりも、アウトソーシングモデルを検討する方がコスト効率や実用性の面で優れている場合があります。

トレーニング

サイバー犯罪者は、サイバー攻撃の際の最初の侵入ポイントとして人を利用することが多く、特にフィッシングに関してはその傾向が顕著です。そのため、組織のサイバーセキュリティの維持において自分が果たす役割を確実に理解してもらうことが重要です。

会社にサイバーセキュリティ意識向上トレーニングコースがまだ存在しない場合、ITチームは、レベル、場所、職務範囲に関係なくすべての従業員が完了すべきコースの開発を検討することもあるでしょう。より大規模な、あるいはより高レベルのリスクに直面している組織では、職種や経験レベル、場所に基づいて学習プログラムをカスタマイズすることも賢明かもしれません。

ビジネス上の優先事項

要するに、サイバーセキュリティはビジネスの成長の実現要因です。結局のところ、安全なビジネスとは健全なビジネスなのです。

そのため、サイバーセキュリティ戦略では、セキュリティのニーズを根本的に変える可能性のある新しいビジネスイニシアチブと優先事項を考慮に入れる必要があります。例えば、企業がクラウドへの移行を進めている場合、従来のオンプレミスのツールではクラウドベースのアセットを保護できないため、新しいクラウド固有セキュリティツールを導入する必要があります。会社が運用コストの削減やより良い職場環境の提供の方法として従業員にリモートワークを許可しているなら、ITチームは会社のコンピューターとデータが自宅のネットワーク上でも常に保護された状態になるよう措置を講じる必要があります。

サイバー保険

サイバー保険は、サイバー賠償責任保険またはサイバーリスク保険とも呼ばれ、サイバー攻撃が発生した場合にビジネスを保護する保険の一種です。すべての小規模企業が今すぐサイバー保険に加入する必要があるわけではありませんが、一部のクライアントと取引する際の一般的な要件になりつつあります。リスク評価と同様に、顧客が契約上の要件とした場合に備えて、このアクティビティのための資金を確保しておくことが賢明かもしれません。

クラウドストライクでセキュリティを次のレベルに引き上げる

小規模企業でも、包括的でトップレベルの保護を実現できます。CrowdStrike Falcon® Goは、小規模企業向けにカスタムビルドされた、管理が容易で手頃な価格のソリューションであり、ランサムウェア、マルウェア、そして最新のサイバー脅威を防止します。 

  • 巧妙な攻撃を阻止する実績があり、業界をリードするNGAV(次世代アンチウイルス)ソリューションでビジネスを保護
  • デバイスコントロールを活用して、ネットワークを危険にさらす可能性のあるUSBデバイスのモニタリングと管理を支援
  • デバイスの場所を問わず、単一の軽量センサーを展開するだけで、すぐにビジネスの保護を開始

クラウドストライクをお試しになる準備はできましたか?

Falcon Proの15日間無料トライアルを開始し、ランサムウェア、マルウェア、巧妙なサイバー攻撃からビジネスを守りましょう。

無料で始めましょう

追加のリソース:

ダナ・ラーソンは、シニアプロダクトマーケティングマネージャーとして、小規模企業がセキュリティと保護を維持できるよう支援する責任を担っています。彼女は創造性と戦略を融合させることで、サイバーセキュリティを小規模企業にとって必須であるだけでなく価値のあるものにしています。スマートなマーケティング計画の策定からお客様とのチャットに至るまで、あらゆる活動で接するすべてのお客様に後押しされた、保護されている、と感じてもらえるよう努めています。