トレンドマイクロが、6月3日、組織におけるセキュリティ対策 実態調査2015年版を発表しました。

詳細：http://www.go-tm.jp/sor2015

対策としては全体的に「内部犯行」を警戒するような対策が多く取られており、社員や、ベネッセの事件などに見られる関係者からの情報流出を強く警戒していると言えます。

また、興味深いのは7割の回答者が、過去1年以内に情報セキュリティ事故（インシデント）を経験しているとあり、情報セキュリティ事故は日常茶飯事と言っても良いのかもしれません。

ちなみに、２割の回答者は事故の被害額が1億円以上にのぼったと回答しており、セキュリティ事故の被害は小さいものとはいえないようです。

セキュリティは「保険」との位置づけがなされることが多く、積極的な取り組みをしている会社は少数派です。しかしながら、自動車事故と同じく、保険をかけないままでシステムの運用をすることは自殺行為とも言えます。

では、一体どの程度の保険をかけたほうが良いのか？ということですが、もちろん保険料が車両や走行距離によって異なるのと同じく、一概にこれだけ、ということは言えません。

ただし、情報システム投資が会社の売上の約1％程度であると考えると、セキュリティはそのうちの約5％から10％程度が適切ではないでしょうか。

つまり売上が100億円の会社であれば情シス予算が1億円、したがってセキュリティは年間500万円から1000万円程度は必要です。