毎週木曜日に連載してきたセキュリティ資源(予算・人員)の目安値、最終回は「小売・サービス・その他」である。幅広いセクターで、小売・卸売・メディア・娯楽・その他サービスを含んでいる。
もちろんITは業務に欠かせないものだが、他の業種に比べるとあまり重視されていない。サイバーリスクの認識も、顧客の個人情報漏えいが中心で、それさえも情報の価値やリスクについて過小評価されがちである。だからセキュリティ投資は低く抑えられる傾向にある。ただ大企業と言えど店舗や拠点が広く分散していることが多く、投資額に比べてセキュリティ要員比率は高めに出た。
目安値としては、年商の0.1%程度はセキュリティ予算を用意すべきで、年商に占めるIT部門予算は1%、セキュリティ要員は従業員中の0.2%欲しいとした。
オンラインサービスの比率が高まっていて、顧客情報やアタックサーフェスが増えている。決済情報や行動データなど価値の高い(個人)情報を狙った攻撃も増えてきた。同じ情報漏えいでも、電話番号が漏れるのと決済情報が漏れるのではリスクが異なる。
CISOらの話を聴くと、人員を増やすのは難しいので、少人数でも回せる組織を目指しているという。活用しているのは外部サービスや自動化ツール。特に困っているのは海外子会社で、セキュリティ要員を配置することもできていない。グロ-バルで統合して本社で集中管理することも考えている。
リスクは認識していても、まだ十分な予算・人員は充てられてないのが現状。しかし多くのサービスがスマホ上で実現できている現状では、ECなどのサービスを提供する大元の企業も狙われるのが必然、どこまで対策強化するかが経営課題と言えるだろう。
6回に渡ってレポート「企業規模・業種別に見るセキュリティ投資・人員の目安値*1」の内容を紹介して来た。このレポートはいくつかの記事にも引用されている(*2)ので、多くの人に利用していただければと願っている。
*1:Security-Investment-and-Staffing-Levels-by-Company-Size-and-Industry.pdf
