業種・規模別のサイバーセキュリティ資源の目安値、連載第三回はIT･情報通信業である。本来社会インフラの重要な一部なのだが、他のインフラに比べてICTそのものが事業なので、デジタルリスク対応への意識が高い。そこで個別に切り出して評価した。業種としては、ソフトウェア開発、通信、SIer、クラウドやインターネットサービスなどである。

 

　いまやデジタル技術を使っていない企業などはなく、社会全体を支える意味でこの業種の事業継続は、極めて重要な意味を持つ。そのためセキュリティ投資は、自社の信頼性確保や競争力優位の源泉と考えられている。従って、IT予算、セキュリティ予算共に確保に苦労しているという意見は少ない。

 

　一方で人員に関しては、AIや自動化ツールの普及で効率化が進められる面はあるが、先進的な技術を持つ者、高度なリスクに対応できる者の確保には課題が残る。

 

　目安値としては、年商の0.5％程度はセキュリティ予算を用意すべきで、年商に占めるIT部門予算は５％、セキュリティ要員は従業員中の0.6％欲しいとした。

 

　一般企業はセキュリティ投資に対して費用対効果（RoI）を考えるかもしれないが、この業種ではセキュリティ対策の実効性に関する議論が大きい。どのようなリスクが存在していて、セキュリティツールや運用改善でどれだけそのリスクが低減できるかが論点になる。

 

　大きな事業者では本社ではない部門に眼が届きにくいこともあるのだが、ある企業では「CISSP資格を持つ人員を売り上げ100億円あたり１名以上おく」と規定している。部門別の事情も分かり、サイバーセキュリティを理解している人材の配置に務めているわけだ。

 

　インターネット社会を支える事業者としての経営者の認識や、社内にデジタル系のリテラシーを持つ人が多いことから、責務に見合った資源投入は可能と思われる。しかし高度なスキルを持った犯罪者に狙われやすいこともあり、より高度な技術者の確保やレジリエンス体制の構築には課題を残している。