2010/05/10セキュリティROIでコスト削減とリスクマネジメントを両立
※この記事は、2009年11月24日発売『日経コンピュータ』ITpro EXPO2009セミナーレビューに掲載された記事を抜粋したものです。
コンプライアンスを最大の目的に行われてきた情報セキュリティ対策が、大きく変わる時期を迎えている。不況下での予算削減と新たな脅威の出現による対策強化の両方が叫ばれる中で、費用対効果を可視化したうえで、優先順位の高い施策に集中することが求められている。講演では、限られた予算の中で有効なリスクマネジメントを実現するカギとなるセキュリティROIの考え方が紹介された。<セミナー情報>
「セキュリティROIでコスト削減とリスクマネジメントを両立」
2009年10月28日開催「ITpro EXPO2009」にて講演
樋口 健
株式会社インフォセック
経営企画部長
個人情報保護法やいわゆる日本版SOX法の施行などを背景に、この5年余り、企業は様々な情報セキュリティ対策を実施してきた。しかし、新たな脅威の出現など情報セキュリティリスクは増大し続けており、従来の対策では対応しきれなくなっている。
その一方で、長引く不況からIT投資の抑制が進み、従来聖域とされてきたセキュリティ対策にも予算削減の圧力がかかっている。「限られた予算の有効活用のために、費用対効果の高い施策への集中が必要になります。しかし、個々の対策の費用対効果を明確に説明できなかったり課題が多かったりして、どこから手をつけるべきか判断がつかないという問題が出てきます」とインフォセックの樋口 健氏は語る。
その一方で、長引く不況からIT投資の抑制が進み、従来聖域とされてきたセキュリティ対策にも予算削減の圧力がかかっている。「限られた予算の有効活用のために、費用対効果の高い施策への集中が必要になります。しかし、個々の対策の費用対効果を明確に説明できなかったり課題が多かったりして、どこから手をつけるべきか判断がつかないという問題が出てきます」とインフォセックの樋口 健氏は語る。
■コンプライアンスからリスクマネジメントへ
ここで注目すべきは、情報セキュリティに関する「脅威」、「対策」、「形態」、「目的」の4つの変化である。中でも、4番目のコンプライアンスからリスクマネジメントへという変化が特に重要だ。従来の対策は法律があるために行うコンプライアンスの側面が強かった。しかし、現在、新たな法制化がない中で、対策を実施するかどうかは企業の意思に委ねられる。すなわち、リスクとコストを客観的に比較し、実施すべき対策を選択する「リスクマネジメント」の考えに立つことが必要とされているのだ。
「ファイアウォールの整備」と「セキュリティ教育の実施」という推進組織も効果の見え方もまったく異なる対策に優先順位をつけることは難しいが、それぞれの対策のリスク低減効果を可視化し、費用対効果をセキュリティROI( Return Of Investment)として算出すれば、どちらの対策がより有効かを判断できるようになる。
インフォセックでは、セキュリティROIを算出し、リスク対策推奨プランを提案するコスト可視化サービスを提供している。「コスト削減とリスクマネジメントを両立させるために、ITマネージャーはコンプライアンスにとどまらず、自らの意思で対策を立てることが重要です」と強調して、樋口氏は講演を終えた。
[ レポートTop ]
