レポートに新規記事「ITセキュリティ対策の予算はどう決める? ~費用対効果の算出方法とは」を掲載

2009/01/28
お知らせ

※ この記事は、2008年12月29日発売 『日経情報ストラテジー(2009年1月号)』 ITpro EXPO 2008 Autumn セミナーレビューに掲載された記事を抜粋したものです。

内部統制や個人情報保護などへの対策にあたって、ITセキュリティに「何の対策にどれだけ費用をかえれば十分なのか?」という悩みを抱える企業は多い。インフォセックの黒木氏は、セキュリティ対策の費用対効果(ROI)を明確化し、対策費用の最適化に貢献する「ALE(Annual Loss Exposure)手法」について、ケーススタディを交えて解説した。


<セミナー情報>
「ITセキュリティ対策の予算はどう決める? ~セキュリティ費用対効果の算出方法とは~」
2008/10/17開催 「ITproEXPO2008 Autumn」にて講演

株式会社インフォセック
テクノロジーコンサルティンググループ
コンサルタント
黒木 敏幸
■「費用」ではなく「投資」

 講演の冒頭で黒木氏は「IT予算のうち、情報セキュリティ対策の枠をどう決めればよいか分からず、予算を決められない企業は多い。最大の理由は、セキュリティ対策の費用対効果(ROI)が見えないため」と指摘した。
 IT予算に占めるセキュリティ関連の予算は、自社にとってどれくらいの額が妥当かとなると、根拠のある数字を示せないのが現状だ。経営者側もセキュリティの重要性やコストがかかることは理解している。それにも関わらず予算の決定が難しいのは、何をどこまで行えばよいか基準がなく、費用対効果が見えないためだ。
 黒木氏は「セキュリティ対策を税金や保険料と同様に"費用"と感じていると、できるだけ安くすることばかり考えてしまい、どこまで行うか悩むことになる。費用ではなく"投資"と考えれば視点が変わる」と強調する。セキュリティ対策をすることによって将来の損失額を減らせれば、その分だけの便益を得たといえる。つまり、損失額を減らす対策費用は「投資」とみなすことができるのだ。
■ROI算出に有効な「ALE手法」

 ITセキュリティ対策において投資効率を示すROI は、「対策による便益額÷対策費用」の計算式で算出できる。対策による便益額は「年間損失予想額」(発生が予想される損失額の年間平均)がわかれば、その減少分として算出できる。その「年間損失予想額」を見積もる手法が、米国国立標準技術研究所
(NIST)が推奨する「ALE手法」だ。計算式は下記になる。

ALE(年間損失予想額)=脅威の年間予想発生頻度×発生1回あたりの損失額

 日本で行われている現行の主なリスクアセスメントでは、「資産の価値×脅威×ぜい弱性」の計算式でリスク値を割り出すが、この手法ではリスクの大きさは認識できても、そのリスクに対する妥当な投資額の判断は難しい。これに対してALE手法では、対策費用と比較してROIを算出できるため、効率良く投資額を判断できる。また、リスクを数値で表して同じ尺度で比較できるため、対策の優先順位が明確になるといったメリットがある。
 そして黒木氏は、あるシステムの事例をモデルに、対策前と対策後のALE を見積もり、ROI算出して投資プランを立てて予算を決定するまでの過程をチャートで解説した(文末図参照)。黒木氏は最後に「ROI算出の精度を高めるにはデータの蓄積が大切であるため、外部サービスやツールの利用が効果的。是非、インフォセックにご相談を」と語り、講演を締めくくった。

この記事またはセミナー資料に関するお問い合わせはこちら

infosec1022out2.jpgのサムネール画像

最新情報