入退室管理システムがはいっていても、
外部侵入を許すケースは多々ありますし、
狭いフロアで顔見知りしかいないスペースだと、
そんなシステムがなくても、
外部侵入すればすぐに不審者通報されてしまいます。

何かセキュリティ投資を一度すれば、一定のレベルをクリアし、
それでＯＫ、もう何もしなくてよい、
こういう考え方をしたがる人が多いです。
そのほうが楽だからでしょう。

しかし、現実はより複雑で、社会環境も変化すれば、
技術も進化します。

かつて私物ノートＰＣ持ち込み禁止のルールを
掲げていた会社は多いですが、
誰もルール違反だと思わないまま、
スマホを社内に持ち込んでいて、
ルールのほうを変更したというのが実情です。

情報セキュリティ対策とは、一度きりやって、
ハードルをクリアして終わりではなく、
ずっとやり続けることです。

一方で、ある一時期に集中的にお金も労力もかけて
やらなければならないということもありません。
逆説的ではありますが、継続してやり続ける類のものである以上、
地道に少しずつでよいわけです。

よって、今回のお題のセキュリティ予算を考える際は、
リスクを低減させるためにいくらかかるかを考えて、
巨額投資にうんざりしたり、
なにもやらないと無視を決め込むよりも、
毎年一定額を予算として計上して、
その中でできるかぎり効果的なことをやっていくのが適切です。

つまり、毎年ン万円の定額をセキュリティに使うと
決めるということです。

では、いくらがよいのでしょうか。

セキュリティ対策にふんだんに費用をかけた結果、
会社が倒産していては本末転倒ですし、
大企業と同等レベルのセキュリティ対策を
中小企業ができるわけでもありません。

規模、業種によって、あるいは、保有する情報の種類によって
求められるセキュリティレベルは
違うとはいえ、予算額の決め方は絶対額ではなく、
売上の何％と決めるのがよいでしょう。

ＩＴ予算は売上の１％程度と言われます。
セキュリティ予算は売上の０．１～０．３％くらいが
適当なのではないでしょうか。
売上１０億円の会社で、１００～３００万円。
売上１００億円の会社で、１０００～３０００万円。
売上１０００億円の会社で、１～３億円。

ＩＴ活用度によっても上下しますし、
業種によっても違いますので一概に言えることではないですし、
ＩＴ予算とかぶる部分もあるでしょうし、
物理的な対策など、必ずしもＩＴと関係のない予算もあります。
それらのことを鑑みても、おおよそ、売上の０．１～０．３％は
いい線をついている数字と思います。

売上とはお客様からいただくお金でもありますので、
お客様に売上のどのくらいならセキュリティのコストを
負担してもらってよいかという指標でもあります。

お客様が商品やサービスに期待する品質や価値のなかに
占める割合でもあり、
それが、１０％にもなることはないでしょう。
ある意味、経営に占めるセキュリティの割合は
その程度なのだということです。

ただ、今まで積み上げてきたものがなかった、
今までは０に近かったので、
挽回するために多くの費用がかかっていると感じたりするのです。

セキュリティ予算の売上割合はあくまで目安ですが、
一番重要なポイントは、毎年予算に組み入れて、
継続的にセキュリティ投資をしつづけることです。

新たな脅威が発生し、脆弱性は変化するので、
セキュリティ対策に終わりなしです。