会社情報
採用情報
お問い合わせ
Article

セキュリティ予算の確保と説明方法

高田晃太郎
セキュリティ予算の確保と説明方法

IBMのCost of a Data Breach 2024によると、1件あたりの平均被害額は4.88百万ドルに達し、検知と封じ込めに200日以上要した場合はコストが約1百万ドル増加する傾向が報告されています¹。さらにGartnerは、2024年の世界のセキュリティとリスク管理支出が約2,150億ドル規模に拡大すると予測しました²。数字は冷徹ですが、読み解き方次第で経営と現場の会話は変えられます。予算が通らない最大の要因は技術の難しさではなく、セキュリティ投資のROIやKPIといった費用対効果の語彙が経営の意思決定と接続していないことにあります。

セキュリティはコストセンターという先入観が根強い一方で、規制や顧客期待の高まりにより、未投資のリスクは事業継続そのものに跳ね返ります。だからこそ、脅威の恐さを並べるのではなく、事業価値を守り伸ばす投資として、定量化された根拠と実行計画で語ることが鍵になります。本稿では、CTOとエンジニアリーダーが経営と同じテーブルで意思決定できるよう、ALEとFAIRに基づく損失期待値(リスク評価)の算定、ROIとキャッシュフローの見せ方、KPIに紐づくロードマップまでを実務目線で解きほぐします。

データで押さえる現実と前提の整備

まず前提を合わせます。脅威の種類や攻撃経路は年々多様化していますが、経営会議に持ち込むのは恐怖の列挙ではなく、リスクの規模と頻度を示す最小限の指標です。研究データでは、認証情報の漏えいが関与する侵害は依然高率で、MFA(多要素認証)や特権アクセス管理の未整備は恒常的なコストドライバーになっています³。ここで有効なのは、組織特性を踏まえたリスクの貨幣評価です。日本円に換算して語る、財務諸表のどの行項目(売上・粗利・販管費・罰金等)に影響するかを明確にする、そして時間軸の効果を見せる。この三点が揃うと初めて経営の会話に乗ります。

損失期待値の基本はALE(Annualized Loss Expectancy:年間期待損失)です。単一事象の損失規模をSLE(Single Loss Expectancy)とし、年間発生率ARO(Annual Rate of Occurrence:年何回起きるか)を掛ければ、年間期待損失が得られます。例えば、機密設計図の漏えいによる一次損失と対応費の合算を2億円と見積もり、年0.3回の発生率ならALEは6,000万円です。ここにコントロールの導入でAROを0.3から0.1に低減できると仮定すれば、新ALEは2,000万円となり、差額の4,000万円が年間回避損失です。これがセキュリティ投資のROI(投資対効果)の原資になります。

FAIRフレームワーク(Factor Analysis of Information Risk)を用いると、脅威事象の頻度と損害規模を分解して推定できます。攻撃者の接触頻度、発生時の成功確率、制御の強度とカバレッジ、損害の直接費と間接費などに分け、分布で表現すると、感度分析が可能になります。Monte Carlo(乱数で繰り返し試算する方法)を使い1万回のシミュレーションを回せば、95パーセンタイルの損失レンジまで可視化でき、CFOが理解しやすい帯域で議論が進みます。現場の肌感覚を数字に翻訳する作業は骨が折れますが、上振れと下振れを含むレンジで語れると、意思決定のスピードが一段上がるのを実感するはずです。

ベンチマークと規制の地図で枠を決める

自社だけの数字では心許ないと感じる場合は、外部ベンチマークを添えます。IBMの平均被害額、MandiantやENISAの年次報告、国内では個人情報保護委員会の事例公表やJPCERTの統計が参考になります。さらに2024年に更新されたNIST CSF 2.0はGovernance(GOV)機能が強化され、リスクと投資の整合、供給網の責任分担、経営層の説明責任を接続する枠組みが明確になりました⁴。経営に示すロードマップは、このような外部基準の章立てと用語に合わせると通りが良くなります。

時間コストとシフトレフトの定量

遅れて直すほど高くつくという原則はセキュリティでも同じです。複数の研究では、開発後工程での欠陥修正コストが要件定義段階に比べて大きく増大する傾向が示される一方、その倍率は文脈依存で一律の「10倍・100倍」ルールは実証が乏しいと指摘されています⁵。アプリケーションセキュリティへの投資は、出荷後の脆弱性対応を前提にするより、設計・テストでの検出率を高める方が費用対効果が高いという説明が可能です。SAST(静的解析)とDAST(動的解析)、依存関係スキャナやIaC(Infrastructure as Code:コード化したインフラ)のポリシー検証をCIに組み込むと、修正のリードタイムが短くなり、ダウンタイムの発生確率も下がります。リリース1件あたりの再作業時間を平均8時間削減できるなら、開発者の人件費単価と件数から年間削減額(TCO削減)を即座に算出できます。

予算を積み上げるロジックと投資配分

投資ストーリーは、トップダウンのガードレールとボトムアップの積み上げで整合させます。最初に、事業と規制の制約から外せない必須枠を定義します。特権アクセス管理(PAM)、ID基盤の強化、バックアップの隔離と演習、検知と対応(EDR/SIEM/SOAR等)の24/7体制の四領域は、多くの産業で必須と見なされます。ここは理由ではなく事実として提示し、次に可変枠で費用対効果を比較していきます。クラウド・エンドポイント・アプリ・サプライチェーンの各ドメインで、カバレッジ、検知精度、MTTR短縮への寄与を定量化し、重複機能の統合によるライセンス削減余地も示します。

ボトムアップでは、単位コストと単位効果を揃えます。エンドポイント1台あたりの防御単価、アイデンティティ1アカウントあたりのライセンス単価、1サービスあたりのシークレット管理コストなどを並べ、同時に1台あたりの検知件数、偽陽性率、1インシデントあたりの調査時間を提示します。ここにSLAと人的工数を掛け合わせると、ツールの導入が人件費に与える影響を手触りのある数字で語れます。例えば、EDRの高精度化で偽陽性を30パーセント圧縮でき、アナリストの1件あたり調査時間が45分から20分に短縮されたなら、月間500件の環境では月200時間以上の削減になります。アウトソース比率が高い場合は、時間単価の高い外部工数を優先的に削るとROIが立ちやすくなります。

財務指標は経営が慣れた形で出します。回避損失をキャッシュイン等価として扱い、投資額との差分で単年ROIを示し、必要に応じて割引率を適用したNPV(正味現在価値)やIRR(内部収益率)を併記します。例えば、バックアップの隔離と復旧演習の強化に3,000万円投資し、ランサムウェア事案時の停止時間を平均72時間から24時間に圧縮できるとします。時間当たり粗利損失が500万円なら、回避損失は24時間×500万円=1.2億円となり、単年ROIは300パーセントを超えます。このように、売上と粗利の保全額で語ると、コスト中心の議論から事業価値中心の議論に転じることができます。

ステージゲートと可変費の設計

全額を最初から取りに行くより、ステージゲート(段階投入・段階評価)で設計します。四半期ごとに導入範囲を拡張し、各段でKPI達成を条件に次段資金を開放する方式にすると、財務側はリスクを限定でき、現場は成果で追加予算を獲得できます。サブスクリプション型の可変費は、季節性やプロダクトのローンチ波に合わせてスケールできる点を強調します。ボリュームディスカウントや複数年契約の単価改善は、将来キャッシュの確実性と引き換えに行うのが基本で、契約更新の前後でベンダー統合を合わせて提示すると、交渉力が増します。

技術負債の返済と新規投資の同居

古いVPN、未管理の特権アカウント、手作業の権限付与などの技術負債は、目に見える事故事例が出るまで注目されにくい領域です。ここはゼロトラスト(常時検証・最小権限の原則)のリプレイス方針を描きます。まずアイデンティティ基盤の正規化とMFAの徹底、その後にネットワークのセグメンテーションとアプリ・データごとのきめ細かい認可に進む順序を示し、同時にレガシー撤去による保守料と運用工数の削減を計上します。新規の検知と対応への投資と並走させることで、財務的な相殺効果が働き、全体の予算が通りやすくなります。

経営に通す説明の作法と言語変換

経営会議では、スライドの枚数より言語変換が効きます。セキュリティ専門用語は内部統制や事業継続(BCP)の語彙に置き換えます。MFAは不正決済や乗っ取り防止による売上保全、EDRは検知力と復旧速度による停止時間の短縮、特権アクセス管理は外部監査の指摘解消と罰則リスクの低減に対応づけます。つまり、技術的効果を、財務とコンプライアンスのKPIに一対一でマッピングするのです。

ストーリーは三幕構成が分かりやすく、第一幕で現状のリスクと外部ベンチマークを示し、第二幕で対策と投資の選択肢、その効果と代替案を比較し、第三幕でロードマップ、マイルストーン、KPI、撤退基準まで含めます。撤退基準を明示することで、投資の片道切符感が薄れ、意思決定が進みます。さらに、コミットメントの形を工夫します。経営側には四半期ごとの効果レビューを約束し、未達時にはスコープ調整または代替案への切り替えを提案します。現場側は、導入後30日、60日、90日での早期指標(例:MTTD/MTTR、MFA適用率)を設定し、成果の見える化を迅速に行います。

数式で落とすミニ事例(仮想シナリオ)

ここでは仮想シナリオで話を具体化します。設計図の外部流出1件あたりの直接損失を1.5億円、調査・通知・法務・生産調整の間接費を5,000万円、SLEを合計2億円とします。現状のAROは0.3、ALEは6,000万円。DLP(データ損失防止)とシークレット管理、送信制御の強化でAROを0.1に低減し、誤検知削減で運用コストを年1,000万円圧縮できると見積もると、新ALEは2,000万円、回避損失は4,000万円、運用削減1,000万円を合わせた便益は年5,000万円になります。初期投資が4,000万円、年次サブスクと運用追加が1,000万円なら、単年で損益分岐を超え、二年目以降は年4,000万円の純便益が期待できます。割引率8パーセントで三年NPVを計算するとおよそ8,900万円となり、IRRは20パーセント超の目安です。こうした計算を、主要ユースケースごとに数枚のスライドで示すだけで、議論の質は一変します。

コスト・オブ・ノット・ドゥーイングという武器

もう一つの有効な視点は、実施しないコストの提示です。バックアップの隔離と復旧演習をやらない場合、ランサムウェアで暗号化されたときの停止時間は平均して長くなり、顧客インシデントの説明も長期化します。IBMの報告でも、侵害の早期検知・封じ込め(200日未満)は約1百万ドルのコスト差に繋がるとされています¹。すなわち、速さに値札がついているのです。これをロードマップの先頭に置き、最も停止時間に効く投資から着手する、という順序立てで合意を取りに行きます。

実行と効果測定で信頼を積み上げる

予算が通ってからが本番です。最初の90日で、可視化と運用の基礎体力を作る施策を優先し、その上で高難度の最適化に移ります。検知と対応の分野では、MTTD(平均検知時間)とMTTR(平均復旧時間)の中央値と95パーセンタイルを同時に追跡し、サイレントフェイルを防ぐためにヘルスチェックや攻撃シミュレーションを定期運用に組み込みます。IDと権限では、MFA適用率、特権アカウントの棚卸し完了率、権限付与のSLA遵守率を月次で公開します。アプリとクラウドでは、IaCのポリシー準拠率、依存関係の既知脆弱性解消率、リリースごとのセキュリティ再作業時間を追います。これらはすべて、経営ダッシュボードのカードとして毎月同じフォーマットで提示し、改善トレンドを示します。

運用コストの最適化も並走させます。複数の重複ツールがアラートを増幅させている場合は、データソースを正規化してコリレーションを見直し、チューニングで偽陽性を削ります。必要ならベンダー統合を進め、契約を年次から複数年に変えて単価を下げます。クラウド原価に跳ねるログ保管は、保持期間の層別化やサンプリングの設計でコストを抑えつつ、監査要件に適合させます。人的面では、Tier1を自動化とガイド化で圧縮し、Tier2/3の分析に集中投資します。スキル開発については、演習とレトロスペクティブをスプリントに固定化し、プロダクト開発の儀式と同列に扱うと、現場の負荷が平準化されます。

監査と顧客要求を味方にする

監査指摘や顧客のセキュリティアンケートは、摩擦ではなくレバレッジです。指摘事項の恒久対応に予算が必要な場合、失注・条件付き合格・二次監査のコストを定量化して添えると、投資で回避できる売上機会の保全額が見えてきます。年商が大きい顧客のセキュリティ要求を採用条件として組み込めば、セキュリティ投資が売上の達成要件になるという図式が成立します。これは事業側のKPIと整合し、組織内の優先度を引き上げる強力な武器になります。

失敗の見える化と学習速度

すべてが計画通りには進みません。だからこそ、失敗を早く小さく見つける仕掛けを設けます。週次のミニポストモーテム、重大度ごとの標準対応手順の改訂、検知ロジックのA/Bテスト、攻撃シナリオの定期リハーサル。これらをドキュメントとして積み上げ、毎四半期の経営レビューで学習曲線を提示します。学習速度は競争力です。新たな脅威が現れても、組織が一枚岩で学び、次の四半期には改善が定着している。このリズムが確立すると、セキュリティはコストではなく、事業の変化耐性を生むインフラとして認識されます。

まとめ:事業価値で語り、成果で積み上げる

脅威の恐さだけでは予算は動きません。動くのは、事業価値に換算された回避損失、停止時間の短縮、監査と顧客要件の合格可能性、そしてそれらが裏付けられたロードマップとKPIです。ALEやFAIRで損失期待値を可視化し、ROIとNPVで財務の文脈に合わせ、四半期のステージゲートでリスクを限定する。こうして、セキュリティは保険であると同時に、成長のためのインフラへと姿を変えます。

次に何をしますか。まずは主要三つのユースケースを選び、SLEとAROを暫定で置いてALEを試算し、四半期のマイルストーンとKPIを一枚の資料にまとめてください。最初の90日で測れる早期指標を設定し、経営にレビューの場を約束しましょう。小さく始めて成果で広げる。この循環を回せるのは、事業と技術の両方を理解するあなた自身です。

参考文献

  1. IBM Security. 2024 Cost of a Data Breach Report — Escalating Data Breach Disruption Pushes Costs to New Highs (2024). https://newsroom.ibm.com/2024-07-30-IBM-Report-Escalating-Data-Breach-Disruption-Pushes-Costs-to-New-Highs
  2. Gartner. Gartner Forecasts Worldwide Security and Risk Management Spending to Grow 14% in 2024 (2023-09-28). https://www.gartner.com/en/newsroom/press-releases/2023-09-28-gartner-forecasts-global-security-and-risk-management-spending-to-grow-14-percent-in-2024
  3. IBM Security. Compromised Employee Accounts Led to Most Expensive Data Breaches Over Past Year (2020-07-29). https://newsroom.ibm.com/2020-07-29-IBM-Report-Compromised-Employee-Accounts-Led-to-Most-Expensive-Data-Breaches-Over-Past-Year
  4. NIST. NIST Releases Version 2.0 of Landmark Cybersecurity Framework (2024-02). https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
  5. Shull, F. et al. Is There a 10x Rule for Fixing Defects? A Systematic Review (2016). arXiv:1609.04886. https://arxiv.org/abs/1609.04886