本連載「サイバーセキュリティ 経営者の視点」では第1回、第2回でサイバーセキュリティについてリスクマネジメントの視点からの考察、及びCISO・セキュリティ部門の位置付け、役割についての考察を行いました。実際に各種のセキュリティ対策を実行すると相応の費用が発生しますが、これを単なる「コスト」と考えるのか「投資」と考えるのかについてはよく議論されるところであり、第3回の本稿ではセキュリティ対策に関連するお金の使い方と、それにまつわる経営者の意思決定について考えてみたいと思います。

「人・モノ・カネ」と同様に
「情報」の管理も重要な投資対象

セキュリティ対策の費用は<br />「コスト」か「投資」か北野 晴人(きたの・はるひと)
デロイト トーマツ
サイバーセキュリティ先端研究所
主席研究員
通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル・データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコンサルタントとして活動。情報セキュリティ大学院大学客員研究員。博士(情報学)、(ISC)2アジア・パシフィック・アドバイザリーカウンシルメンバー

「情報」は「人・モノ・カネ」に続く「第四の見えない経営資源」であると言われるようになりました。「情報を使って事業を営んでいる」という視点で見ると、多くの企業が情報を利活用して財やサービスなどを生産する活動を行っていると考えることができます。いわゆるIT産業はもちろんですが、現在では製造業やサービス産業であっても情報は重要な経営資源であり、事業活動には不可欠なものとなっています(図表1)。近年さかんな「ビッグデータ」関連ビジネスは、情報を資源として事業活動を行う象徴的な例といえるでしょう。

 情報以外の経営資源について考えてみると、「人」については常に人材の流出、不足、余剰によるコスト増などのリスクがあり、「モノ」については、原材料の輸入停止、災害による生産設備の破壊などのリスク、「カネ」については為替変動、投資の失敗などのリスクなどが考えられます。このような常に認識されてきたリスクについては当然、経営者の理解と判断のもとで相応に対策が講じられ、管理されてきたはずであり、相応の費用負担についても「成長のための投資の一部」として経営者が意思決定を行っているはずです。

 したがって、同じ経営資源である「情報」についても、同様に経営者の理解と判断によるリスク管理と費用負担の意思決定が行われるべきであって、失敗すると事業に深刻な影響と損失を与えることは、多くの事件・事故の事例が示す通りです。これがサイバーセキュリティを経営的な課題であるとする理由です。

 これらのリスクが顕在化すると、企業がその事業を成長させていくための活動を阻害し、減速させます。しかし、一定の範囲でリスクを取って投資しなければ事業は成長しません。そのため、そうしたリスクが顕在化したときに最少限の影響で済むように、適切に管理(マネジメント)した上で、リスクを取って投資する必要があります。

セキュリティ対策の費用は<br />「コスト」か「投資」か