「セキュリティってどこまでやればいいの?」
これ、永遠の課題です。
やろうと思えば、青天井にお金を使うことができます。
しかし、セキュリティは利益貢献にはつながりません。
(CSR的な貢献までです。。。)
そんなものに対してどうやって最適解を求めるのか?
一つに切り口は会社規模です。
会社の売上高の〇〇%とかいうやつ。
セキュリティの場合、IT予算の〇〇%とかいう言い方します。
というわけで、セキュリティの場合は、まずはIT予算がないと始まりません。
IT予算の比率って業界ごとに異なってきます。
システム障害やサイバー攻撃の発生が社会的に大きい業界は当然比率が高くなります。金融機関が最も高く、社会インフラ(重要インフラ)分野などが比較的高い感じ。
この辺をJUASが毎年整理してくれていています。
ちなみに過去に3社の事業会社でIT運用やってきた実体験としては、
3%以上が理想で、しっかりIT投資ができおり、PDCAサイクルもしっかり回っている感じ。
これが2%になるとIT投資は何とかできているが、PDCAサイクルはやや不安定な感じ。
0.5%になるともはやいろいろな意味でオワタ感じ。(IT投資は不十分。PDCAサイクルは崩壊。仕事は完全に属人的になり、人材の入れ替わりが激しい。。。)
ユーザー企業でITやりたい方々は、こういった情報を参考にしっかりIT投資している会社に就職/転職しましょうね。
図の中でいうと、建築・土木業はアウトです。自分も転職活動の際、この業種だけは外して活動していました。
少し話がそれましたが、IT予算がそれぞれの企業の売上高で決まるため、セキュリティ予算はIT予算の20%とかよく言われています。
私の所属組織もIT予算の20%をセキュリティ予算とし、施策を立てています。
【参考資料】
企業IT動向調査2017