クローズアップテーマ
情報セキュリティ投資どのくらいですか?
2007年02月23日 板垣克彦
ここではコンサルティング担当者が日々のコンサルティング業務の中で気付いた事を掲載していきます。
第2回「情報セキュリティ投資どのくらいですか?」
個人情報紛失や流出をはじめとする情報セキュリティ事故では、その対応如何によっては、高額の賠償が必要となったり、信用を大きく傷つけたりすることはもはや周知の事実であり、セキュリティへの対策は、今や必須のこととなっています。セキュリティ対策は、一般には、実施すればするほど守りのレベルはあがるため、どの程度のセキュリティ対策やセキュリティ投資をしておくべきかが、関心ごとになります。一方で、セキュリティへの投資は、直接に利益を生む投資ではないことから、経営者としてはなるべく低く抑えたい欲求もでてきます。
そこで投資対効果が重要になってきますが、セキュリティ投資に関しては、その効果はその結果実現されるセキュリティ対策の強さで計ることができます。セキュリティの強さの要求の程度は、人それぞれ異なりますし、またコストを負担できるかどうかの尺度もそれぞれです。万人が満足するセキュリティの強さを十分達成したシステムを構築することも考えられますが、それでコストがかかっていたり、あるいは高額のサービス料金を要求しているのなら、不必要にセキュリティ投資を行っているともいうみかたもできるでしょう。大多数の者が求めるセキュリティの強さが適度に備わっていれば十分かもしれません。
消費者や取引先は、対象とする取引で必要なサービス・セキュリティのレベルや、そのコストなどを勘案して、取引するかどうか決定することになりますから、何がなんでも利用するサービスのセキュリティレベルは最大限でなければならないという必要もありません。最低限のセキュリティ確保は必須としても、同じサービスに対して、さまざまなセキュリティの強さとコストのものが提供されるということがあってよいのではないでしょうか。たとえば、銀行の貸金庫に預けるのか、コインロッカーに預けるのかは、預けるものに必要とされるセキュリティの強さがサービスに見合うかどうかと、その人のコスト感覚の問題だといえます。
このことから、具備するセキュリティ対策のレベルは、顧客や取引先の評価に委ねるという考えがでてきます。このためには、セキュリティ対策に関する情報の提供が必要になります。今は情報開示があまりされていないため、セキュリティレベルを判断するのは難しい状況です。セキュリティに関する情報を開示するのはセキュリティ上問題があるのではないか、という意見もあるかもしれませんが、具体的な対策の内容まで言う必要はないのです。実際、我々は銀行のセキュリティはどうなっているかは詳しくはわかっていませんが、コインロッカーより大丈夫そうだと思えたり、あるいは、コインロッカーを破る方がコストが少なそうだと思える程度の情報はある訳です。
企業のサービスに求められているセキュリティの強さは、対策済みのレベルとは異なっているかもしれません。市場にコストとパフォーマンスの評価を委ねることで、不必要に高いセキュリティコストを削減することが可能になるかもしれません。これにより、セキュリティ投資が戦略的な意味を持ちやすくなり、単なる費用項目から脱却できる可能性もあるのでしょう。
そもそもセキュリティ対策に「絶対」はないのですから、費用を際限なくかけることもできます。それをコストパフォーマンスに見合った内容にすることは企業として命題といえるのではないでしょうか。
以 上
※コラムは執筆者の個人的見解であり、日本総研の公式見解を示すものではありません。