Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@f_0000(f u)

【IPA】セキュリティ関連費用の可視化ツール「NANBOK」の全貌に迫る

Posted at

はじめに

2023/1/20に公開されたセキュリティ関連費用の可視化ツールNANBOKに関して、筆者の個人的見解を述べた記事です。

一部否定的な意見が含まれていますが、筆者は公的機関がNANBOKのような標準ツールを発行することに関しては肯定的です

対象読者

  • NANBOKの概要をサクッと知りたい人
  • NANBOKを自社で使用できるか判断がつかない人
  • NANBOKをどのように活用しているか悩んでいる人

本記事の目的

この記事を読んでくださった方が、

  1. NANBOKを用いて何ができるのか
  2. NANBOKを自社で使用可能か
  3. NANBOKをどのように活用すればよいのか

を理解 or 判断するための手助けになればと思っています。

セキュリティ関連費用の可視化ツール「NANBOK」の概要

NANBOKはIPAから公開されたセキュリティ関連費用の可視化ツールです。

IPAでは「NANBOK」開発された経緯を以下のように説明しています。

企業のセキュリティ対策は不可欠ですが、実際に自社にセキュリティ製品やサービスを導入するためには、社内予算を確保する必要があります。
(中略)
企業のセキュリティ担当者にはセキュリティ対策を経営者が理解できるような言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多いと考えております
(中略)
そこで、私たちは企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらうべく、お助けツール「NANBOK」を開発しました

シナリオ

NANBOKでは情報セキュリティ10大脅威(2022年版)のうち8つの脅威が発生した時の被害金額を4つの業界毎に見積もることができます。つまり、8×4=32シナリオがせっけいされていることになります。
image.png

プルダウンで脅威と業界を選択可能となっています。
image.png

チェック項目

各業界ごとに簡単な質問票が設けられています。設問は最大で18個です。
image.png

計算方法

主なセキュリティ関連費用は以下のような考え方で見積もりが行われています。

費用= 企業情報 × 脅威による損害金額 + 外注費用

Excelでは、企業情報と外注費用の発生有無を回答することになります。
「脅威による損害金額」は以下のガイドラインをもとに、計算式が組まれています。
- 脅威の種類:情報セキュリティ10大脅威 2022
- 損害費用の区分:インシデント損害額調査レポート2021
- セキュリティ対策の導入状況企業IT利活用動向調査2022

見積もり結果

実際に私が所属会社がランサムウェア被害にあった場合を想定して回答してみました。
image.png

気になる見積もり結果は、衝撃の300万円
image.png

費用の内訳は以下のような内容です。
image.png

また、金額は発生しないが発生しうる被害として以下のような結果となりました。
image.png

正直な感想

NANBOK単体で経営層へ被害発生時の金額を提示することは難しいと考えています。
理由としては、見積もりの対象が、一部の「事故対応損害」や「賠償損害」のみとなっており、被害金額が小さく見えてしまうところが一番大きいと思います。
※いくら自社でインシデント対応を賄えたとしても、被害額300万円というのは、皆様の感覚からかけ離れているかと思います。

また、上記写真の金額が発生しないが発生しうる被害の方が本質的には気になるかつ、影響の大きい領域かと思います。

NANBOKの活用方法

現時点でNANBOKにて考えられる使い方は以下の2通りだと感じています。

  1. 経営層へ被害金額を伝える際の補足資料として使用する
  2. 被害金額見積もりのたたき台として使用する

#1に関しては、まだまだ経営層への説得材料として使える内容ではないと感じたため「超」とつけました。また、金額が一般常識より低く算定されてしまうため、担当者の伝える技術がない場合、「大した被害額ではないのか」と誤認されてしまう可能性があるため注意が必要です。

#2に関しては、一部の項目を自動で計算してくれるツールとして活用する方法です。金額が発生しないが発生しうる被害に関しては、会社ごとに大きく違ってくるか初夏と思いますので、独自に見積もり、それ以外の項目はシステム的に見積もるというような、用途であれば十分実用性はあると感じます。

最後に

NANBOKに関してのポジティブ/ネガティブな意見を記載しましたが、このような公的機関が一つのガイドラインを公開すること自体には大いに賛成しています。

また、「伝える力」はセキュリティを担当する人にとって非常に重要なスキルです。今後も伝えるための補助材料となるツールが公的機関・民間企業の双方から提供されることは業界にとって素晴らしいことだと考えています。

本ツールがさらにブラッシュアップされ、より日本の企業にセキュリティの重要性が伝わることを切に願うとともに、私自身も引き続きそういった活動に取り組んでまいります。

参考

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?