経営層を説得する反フィッシング予算の組み立て方 — 被害試算と ROI のフレームワーク

「フィッシング対策は重要だと分かっている、でも予算が通らない」——中堅企業のセキュリティ担当者からもっとも頻繁に聞くフレーズです。
技術的な対策(類似ドメイン検知、レジストラへの通報、ブラウザブロックリスト通報)がどれだけ分かっていても、経営層に budget を通せない限り実装は進みません。
この記事は、中堅〜上場企業の情シス・CISO・セキュリティマネージャが「経営会議で budget を通すための言語」を整理したフレームワークです。技術者向けではなく、経営層と対話する時に使える構造 に焦点を絞っています。
なぜ反フィッシング budget は通りにくいのか
経営層が慎重になる理由は、だいたい 3 つに集約されます。
1. 「被害が出ていない → 投資優先度が低い」
フィッシング対策は予防投資 です。「被害が出ていない」状況では、経営層にとって「必要性が見えない」ものになります。これは火災保険と同じロジックで、燃えていない時に保険料を払うことを合理化するのは常に難しい。
2. 「他社もやっていない → 差別化にならない」
中堅企業の経営判断は、同業他社のベンチマークに強く影響されます。「業界内で〜%が導入している」というデータがないと、「なぜウチが先にやるのか」という問いに答えにくい。
3. 「ROI が計算できない → 稟議書が書けない」
情シス担当が budget を通すには、経理 / 財務部門が納得する ROI が必要です。しかし「被害を未然に防いだ額」は定量化しづらく、結果として「投資 vs リターン」の箱が埋まらないまま稟議が止まる。
これら 3 つの反対理由は、経営層が不合理だからではなく、合理的だから生じるもの です。説得するには、これらの合理性を前提にしたフレームワークで応じる必要があります。
被害期待損失の試算フレームワーク
ROI の分母(想定される損失)を定量化する基本式:
年間期待損失 = 発生確率 × 被害額 × 露出範囲
各項目を中堅企業向けに具体化すると:
発生確率
IPA の「情報セキュリティ 10 大脅威 2025 (組織編)」でフィッシング関連脅威(ランサムウェア・ビジネスメール詐欺・標的型攻撃)は毎年上位に入ります。JPCERT/CC の年次報告によると、フィッシング関連インシデントは過去数年で右肩上がりで、2024 年は過去最高水準を記録しました。
中堅企業 1 社あたりの年間発生確率は業界とサイズによりますが、5〜20% 程度を目安に置くのが妥当な範囲です(JNSA の情報セキュリティインシデント調査を参考に)。
被害額
被害額は、発生したインシデントのタイプによって大きく幅があります。公開事例をベースに置くと:
| インシデント種別 | 公開事例を基準とした被害レンジ |
|---|---|
| 個人情報漏洩(数万件規模) | 数千万円〜 1 億円(賠償金 + 対応コスト) |
| 個人情報漏洩(数十万件以上) | 10 億円〜 100 億円規模 |
| BEC(ビジネスメール詐欺)による送金被害 | 数百万円〜数億円 |
| ブランド毀損・顧客離れ | 定量化困難だが、被害発表後の株価下落で可視化されるケース多数 |
JNSA「情報セキュリティインシデントに関する調査報告書」 の情報漏洩 1 件あたり想定損害賠償額は、1 人あたり平均約 3 万円という水準がよく引用されます。10 万件漏洩なら 30 億円相当。
露出範囲
「自社ドメインが存在する」= 露出範囲。類似ドメインを利用したフィッシングは、業界的な集中標的(金融・SaaS・EC)であるほど露出が大きい。中堅企業でも、顧客数 ×取引金額 の積が一定以上なら標的リスクは十分にあります。
規制コストという「義務的投下」
期待損失とは別の軸として、規制対応の義務的コストが存在します。これは budget の合理化材料として非常に強力です。
個人情報保護法の改正(2022 年施行・以降継続的強化)
- 漏洩時の本人・個人情報保護委員会への通知義務
- 違反時の課徴金(法人: 最大 1 億円)
- 域外適用(海外事業者にも日本法が及ぶ)
これは「予防投資をしないと義務履行コストが発生する」という明確なロジックです。
金融業界: FISC 安全対策基準
金融機関・準金融機関(決済代行・SaaS 含む)に対しては FISC のガイドラインが実質的な業界基準。類似ドメイン監視・フィッシング対策は「推奨」から「実質必須」に移行している項目です。
プライム上場基準
東証プライム市場では、サイバーセキュリティの開示が有価証券報告書に求められます。「類似ドメイン監視を実施している」を書けるかどうかは IR の質問対応にも関わります。
内製 vs SaaS の ROI 比較
経営層が見る最終的な判断軸は「内製で済むならそれが安い、SaaS にする合理性は?」です。
内製の場合の実質コスト
- 専任担当 1 名(シニアエンジニア): 年間人件費 1,000 万円〜 1,500 万円
- CT ログ監視・NRD feed・dnstwist 統合の構築:初期 2〜3 か月の工数
- スクリーンショット基盤・abuse 通報テンプレ整備:追加 1〜2 か月
- 運用負荷:毎週の triage、abuse 通報送信、返答追跡
- 属人化リスク:担当異動で信頼積み上げがリセット
SaaS の場合の実質コスト
- 中堅企業向けの反フィッシング SaaS は、月数万円〜数十万円 のレンジ
- 初期構築工数ほぼゼロ(ドメインを登録するだけ)
- 運用負荷は triage と最終承認のみ
- ベンダー側で abuse reporter の信頼を継続的に積み上げ
内製で済むように見えても、属人化コストと機会費用を含めると SaaS の ROI が大きく勝る ケースが中堅規模では一般的です。人件費 1,000 万円に対して SaaS 年間 60〜360 万円は、3〜16 倍のレバレッジ。
経営会議用 1 ページ要約のテンプレ
情シスが経営会議に持ち込む資料は、1 ページに収めることで判断を加速させるのが鉄則。テンプレ構造:
件名: 反フィッシング対策予算の件
■ 現状認識
- 自社ブランドの類似ドメイン: N 件を監視対象で確認
- 直近 12 か月で社内への関連通報: N 件
- 業界ベンチマーク: 同業他社のインシデント公表 N 件
■ 期待損失(年間)
発生確率 X% × 被害額 Y 億円 × 露出係数 Z = 期待損失 W 千万円/年
■ 規制・コンプライアンスの観点
- 個人情報保護法改正後の通知義務・課徴金リスク
- [業界該当するガイドライン]
■ 選択肢
1. 現状維持: 期待損失 W 千万円/年を受容
2. 内製: 人件費 1,200 万円/年 + 初期構築 200 万円
3. SaaS 導入: 年間 120〜360 万円
■ 提案
SaaS (選択肢 3) を推奨。ROI は期待損失 W 千万円 ÷ 年額 ≒ N 倍。
■ 導入スケジュール
- 月 1: PoC(2 週間無料枠)
- 月 2: 全ドメイン登録・監視開始
- 月 3 以降: 月次レビューで効果測定
これを埋められるかどうかが、経営層が Yes を出せる構造を提示したかの試金石です。埋められない項目があれば、それを埋めるために追加情報を取ってから持ち込むべき。
OpenBait がカバーする範囲(透明性)
OpenBait の料金は中堅企業向けに設計されており、上記テンプレの「選択肢 3(SaaS 導入)」の具体的な数字として使えます。提供範囲:
- 類似ドメイン候補生成・CT ログ監視・NRD feed 取り込み(検知)
- レジストラ abuse 通報の自動生成と送信(通報)
- Google Safe Browsing / Microsoft SmartScreen / Cloudflare への並行通報(ブラウザ blocklist)
- ダッシュボード上での状態追跡・月次レポート
カバーしていない範囲(透明性のために明示):
- 社内向けフィッシング訓練(KnowBe4 などを推奨)
- メールサーバー側の DMARC / DKIM / SPF 設定(自社 DNS 管理者の業務)
- インシデント発生後の法的対応(弁護士・PR 会社との連携が必要)
全体を「OpenBait 1 つで完結する」という主張ではなく、カバー範囲を明示することで、経営層が全体像を把握しやすい提案 を目指しています。
反フィッシング budget を経営層に通すことは、技術的にどれだけ正しくても、経営の文法で説明できなければ通らない 仕事です。被害期待損失の試算、規制コスト、ROI 比較、1 ページ要約——これらの組み合わせが、情シス担当が「Yes を引き出す」ために用意すべき資料です。
OpenBait の無料枠を使って PoC のデータを取ることから始めて、その結果を経営会議に持ち込むことで、最短距離で budget を通せます。
関連記事
フィッシング対策の実装ガイド — 検知・テイクダウン・顧客防御を一つの運用に束ねる
フィッシング攻撃を受け続けている企業向けに、CT ログ監視・タイポスクワッティング検知・registrar abuse 通報・ブラウザブロックリスト・JavaScript SDK による顧客側保護を一連の運用フローとして組む方法。中堅企業 300〜2,000 人規模を念頭に、それぞれの工程で何を自動化するかを整理する。
`.cn` フィッシングサイトを Tencent 経由で数時間で停止 — Google には 3 日反応されなかった件
顧客対応で実際に起きた事例。同じフィッシング URL を同じタイミングで Google Safe Browsing と Tencent abuse 通報の両方に出した結果。Tencent 側は 24 時間以内に停止、Google 側は 3 日経っても無反応。中国系インフラを跨ぐ可能性のあるブランドを守っている人が、テイクダウンスタックを設計し直すべき理由を整理する。
フィッシング被害に遭ったら — 48 時間以内にやるべき 7 ステップ
自社ブランドがフィッシングに悪用されたと判明した直後の 48 時間で何をすべきか。被害範囲の特定、証拠保全、ユーザー警告、レジストラ通報、ブラウザブロックリスト並行提出、再発防止まで、順序化された playbook。