この日、国名は明かせないがある国の大使館主催のクローズドな勉強会に呼ばれた。サイバーセキュリティの時事問題を話し合う会合で、日本の政府関係者や大手企業も参加していた。主に、組織のCISOが集まったような会議。
ゲストで呼ばれた日本の大手金融機関の役員が、自社や金融ISACの取り組みを説明した。休憩時間に雑談していると、説明してくれた人にある人が質問しているのが耳に入った。「言いにくいだろうけど聞きたい。御行のセキュリティ予算は、IT投資の中でどのくらいだ」
先ほどの紹介が非常に優れた取り組みだったから、そこまでやるにはいくらかかるのかとの思いだったようだ。説明した人は「まあ、1割くらいです」と応えた。休憩後のセッションは、その国の外務省の説明。取り組み説明のなかで、偶然だろうが予算のグラフがあった。総予算100に対して、IT予算は35、そのうち1割にあたる3.5がセキュリティ予算だとある。
私の所属するシンクタンクでは、DXに積極的な企業なら(サイバーリスクが増すので)総売り上げの0.5%を目標にセキュリティ予算を立てるべきと提言(*1)している。業種によって異なる傾向があって、売り上げに対するIT予算は一般企業で1~3%ほど。しかし金融機関では5%もあると言われる。金融機関では「IT予算の1割が、セキュリティ予算」という話は、上記の提言と符合する。売り上げという指標が当てはまらない政府機関も、IT/セキュリティ予算については、これに準じていると考えられそうだ。
ただ一口にIT予算/セキュリティ予算といっても、各社の定義に差はあるだろう。例えば、A社はサイバー保険料をCISO差配のセキュリティ予算に入れているが、B社は財務本部長差配の保険予算に入れているケースだ。
大手企業に限ってのことになるだろうが、このような仮説をぶつけてみて、各社の「DX with Security」度合いを伺ってみるのもいいだろう。