「企業規模・業種別に見るセキュリティ投資・人員数の目安値」第四回は、社会インフラである。セクターとして電力、ガス、水道、石油、鉄道、空港、運輸などがある。これらの企業が事業停止に陥ると、社会的にインパクトが大きい。特に停電が長期化したり、上水道が復旧できないと人命に関わる公算が高くなる。それゆえに、十分はサイバーセキュリティ対策を採ってくれているのだが、意外に投資・人員とも高い数字は出てこない。

 

　これはデジタル以外に多額の設備投資がかかる業種ゆえで、IT投資・セキュリティ投資は売り上げ（これも一般に巨大）比率にすると低く見えてしまうのだ。もちろん経営陣も社会的な影響を考慮して、投資等をネガティブに捉えているわけではない。

 

　政府もかねてから重要インフラ15分野を定め、個別の業界で情報共有スキーム（ISAC）を作っている。近年経済安全保障推進法でも基幹インフラの事前審査や能動的サイバー防御の導入など社会インフラ事業者の対策を後押ししている。

 

　目安値としては、年商の0.3％程度はセキュリティ予算を用意すべきで、年商に占めるIT部門予算は２％、セキュリティ要員は従業員中の0.3％欲しいとした。

 

　公共分野を担っていることから、セキュリティをコストではなく投資と考える意識は、相応に高い。CISOらセキュリティ部門は、サイバー攻撃による事業停止の影響などを定性的に説明して、予算などを獲得している。予算不足を嘆く声は多くなかった。

 

　膨大な設備を日々運用していることもあり、DX推進やAI活用は避けて通れないし、そのためのセキュリティ（DX with Security）を組み込むことは必然になる。設備の効率的、安定的運用にはデジタルデータが欠かせず「DATA Drtiven 経営」を標榜している企業もあった。であればデータを護ることが経営の根幹であり、セキュリティは手を抜けないという。社会的に大きな責任を負った企業の意識は、相応に高いと感じた。