経営のためのIT
【第16回】 2014年4月25日
著者・コラム紹介 バックナンバー
内山悟志 [ITR代表取締役/プリンシパル・アナリスト]

セキュリティに「完璧」はない
だから、投資判断が難しい
――経営者はどうやって判断材料を得るべきか

1
nextpage

セキュリティ対策に代表されるITリスク対応は、いかなる企業にとっても不可避だが、個々の対策案件について的確な投資判断を下すことは非常に難しい。今回は、経営者や意思決定者が、セキュリティ投資案件の必要性や重要度を正しく理解し、投資妥当性の的確な判断を下すための考え方を示す。

セキュリティ投資のむずかしさ

 情報セキュリティ対策に一定の予算を投じることは不可避だが、セキュリティに投資したからといって業務効率が向上するわけでもなければ、売上げ増大や顧客サービスの向上に直接的に寄与するわけでもないため、その投資判断は一般的なIT投資評価の手法とは異なる考え方が必要となる。

 ITRが毎年実施している「IT投資動向調査2014」によると、企業のIT予算に占める2013年度のセキュリティ対策費用は平均で11.5%となっている。この値は、業種、企業規模、ビジネスのITへの依存度などによって大きなばらつきがあり、この平均値を高いと見るか、低いと見るかは、それぞれの企業の考え方次第であり、何パーセントが妥当な水準であるかを示す基準も存在しない。

 確かに、潤沢な予算を投じれば情報セキュリティの成熟度は一定のレベルで高まるが、完璧な対策というものは存在せず、リスクをゼロにすることはできない。

 また、外部環境や自社要件への変化に応じて、新たな脅威やリスクは常に発生するため、永遠に対策を講じ続けなければならない。したがって、適正なセキュリティ投資を行うためには、自社のシステム環境の脆弱性やセキュリティ管理プロセスの成熟度を大局的な視点から棚卸しすることと、個別の投資案件の重要性や影響度を的確に把握することの2点が重要となるが、本稿では後者に焦点を当てて考えてみよう。

 多くの企業でコスト抑制圧力が強まり、IT投資とその効果についての説明責任を強く問う気運が高まっているが、個別の情報セキュリティ投資案件の妥当性や投資効果を定量的に評価する有効な手法は存在しない。

 基本的なリスク分析やビジネス影響分析(BIA)では、守るべき資産の価値、脅威の発生頻度、脆弱性、1回あたりの想定損失額などから、リスクの大小や対策の優先度を検討するのが一般的な手法となっているが、情報セキュリティ投資案件のすべてがこの方式に当てはまるほど単純なものではない。

1
nextpage

経営戦略 一覧ページへ

媒体最新記事一覧

内山悟志 [ITR代表取締役/プリンシパル・アナリスト]

うちやま・さとし/大手外資系企業の情報システム部門などを経て、1989年からデータクエスト・ジャパンでIT分野のシニア・アナリストととして国内外の主要ベンダーの戦略策定に参画。1994年に情報技術研究所(現アイ・ティ・アール)を設立し、代表取締役に就任。現在は大手ユーザー企業のIT戦略立案・実行のアドバイスおよびコンサルティングを提供する。


経営のためのIT

日々進化するIT技術をどうやって経営にいかしていくか。この課題を、独立系ITアナリストが事例を交えて再検証する。クラウド、セキュリティ、仮想化、ビッグデータ、デジタルマーケティング、グローバル業務基盤…。毎回テーマを決め、技術視点でなく経営者の視点で解き明かす。

「経営のためのIT」

⇒バックナンバー一覧