私は、100以上の業界団体が加入する業界団体SC3(サプライチェーン・サイバーセキュリティ・コンソーシアム*1)でも仕事をしていて、サプライチェーン上の弱い輪である中小企業のサイバーセキュリティ能力をどう高めてもらうかの議論を数年にわたって続けている。
一般に資源(ヒト・モノ・カネ)が大企業に比べて十分でないし、そもそもIT導入や活用(DX)も途上、セキュリティ以前に資金繰りやコンプライアンスなどの問題を抱えている中小企業が多い。この課題を克服しようと、いろいろなプレーヤーが施策を講じている。例えば、
・経産省 中小企業向けIT導入助成金(*2)と安価なセキュリティサービスをセットに
・IPA 5分でできるセキュリティチェックなど簡易ツールやガイドを無償提供
・業界団体 関連・協力会社含めたガイドライン制定や各種研修実施
・商工会 地域企業経営者の啓発や安価なサービスの導入支援
などである。ただ日本中に数百万社あるという企業に浸透させるのは、とても難しい。IT導入も「DX with Security」も、ある程度企業の規模がないと実施できないし、効果も薄いのは確かだ。そこで私は、上記の安価なセキュリティサービスだけではなく、企業群が共通クラウドを使ってIT導入をし、そこにセキュリティサービスを載せるべきと以前から主張している。
業種・業態・個社事情によって大きく異なるのだが、目安として年間売上100億円程度の集合になって欲しいと試算している。私の所属するシンクタンクでは「DXに積極的な企業であれば、売り上げの0.5%の予算、全体の0.5%の人員をサイバーセキュリティに充てるべき」とのレポート(*3)を出している。100億円規模の企業(群)なら、年間予算5,000万円。これならそれなりの体制は採れる。欲を言うなら、300億円の売上規模があれば、IT導入にあたってもSIerが親身になってくれるし、余裕をもって「DX with Security」が遂行できる。
<続く>
*1:SC3について|サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3) (ipa.go.jp)
*2:年間予算100億円規模
