私の所属するシンクタンクでは、3年前に「DXに積極的な企業なら、セキュリティ投資は売り上げの0.5%、要員は全従業員の0.5%を確保すべし」とするレポートを世に問うている。当時、多くの企業がサイバーセキュリティ対策を進めたいと思いながら、予算や人員の壁に悩まされていたことから、CISOやセキュリティ部門の背中を押す意識もあってまとめたものだ。
このレポートは日経誌に何度も取り上げられるなど、それなりの評価を得た。しかし「一律に0.5%ではないだろう、業種や企業規模によっても異なってくるはず」との指摘はあった。そこで今回は、業種と企業規模別に6分類した「目安値」を発表することにした。
類似のものでは、ガートナー、ENISA、JUASらの調査があり、これらを読み込んだうえで仮説を立て、実際の企業CISOにインタビューして検証する形でレポートをまとめている。
前回と異なるのは、前回が「DXのための目標値」だったのに対し、今回は「標準的な当該業種の目安値」であること。大企業ではある程度予算も人員も充足してきているが、今の立ち位置がどうなのかを見るための数値だから「目安値」なのだ。
今月Webサイトで公開(*1)するとともに、メディアでも紹介してもらい(*2)、今月は発表記念のシンポジウムも開催した。IPAの齊藤理事長に基調講演をお願いし、非会員企業も含めて80名を招待した場で、執筆した研究員・指導した上席研究員らが内容を披露し、実際にインタビューを受けてくれたCISO(相当)の方5名に登壇してもらうパネルディスカッションを司会した。
チャタムハウスルールで運営したので、登壇者だけでなく聴衆からも積極的な意見や質問が飛び、現場の生の声をぶつけ合ってもらえた。本レポートの内容やシンポジウムの模様などについては、来週から毎木曜日に連載する形でご紹介したい。
*1:Security-Investment-and-Staffing-Levels-by-Company-Size-and-Industry.pdf
