ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ対策の費用は
「コスト」か「投資」か

デロイト トーマツ リスクサービス
【第3回】 2017年5月16日
著者・コラム紹介バックナンバー
previous page
2
nextpage

 例えば、製造系企業が海外の工場を増設するために多額の設備投資を行い、ある製品の生産量を大幅に増やすことを計画した場合、需給バランスに合わせて作業者数を柔軟に調整できるしくみを整備し、工場に防火・耐震の設備を導入し、為替変動に対応できる体制作りを行うなどのリスク管理を実施すると考えられます。このとき相応の費用を支払っているはずです。

 現在では企業が実施するあらゆる成長戦略・施策はコンピュータやネットワークといったITシステムに支えられています。したがって、サイバーセキュリティに関するインシデント(=事件や事故)が発生し被害が出ることは、直接的な損害が出るだけでなく事業の成長戦略を大きく阻害・減速させる要因となります。だからこそ、それを低減・最適化することは、より安定した事業の持続的な成長を下支えするという意味で、事業戦略上重要な「投資」の一部分であると考えることができます(図表2)。こう考えればサイバーセキュリティ対策に関連する費用は「利益を生まないコスト」ではない、と言えるのではないでしょうか。

セキュリティ投資に関する意思決定

 ではこのような考え方のもとでサイバーセキュリティへの投資について、経営者はどのように意思決定すればよいのでしょうか。

 企業がサイバーセキュリティの費用(多くは技術的対策や人材育成)を検討する際に直面する課題の1つが「どこまで対策すればよいかわからない」「どこまで金をかければよいのかわからない」といったものです。セキュリティ対策の予算を申請・獲得する際などには「実際にインシデント(事件・事故)が発生したときに想定される損失額」「対策に必要な費用」「インシデントが発生する可能性」などを使って費用対効果を計算する方法がしばしば使われます。

 しかし、想定される損失額やサイバーセキュリティインシデントの発生確率といった数値を高い精度で算出するのは難しいのが現実です。また、セキュリティ部門やIT部門の担当者が経営者から「この対策をしておけば絶対に大丈夫なのか?」と問われるケースもありますが、セキュリティ対策自体が投資である以上、ここにもリスクがあるのが当然で、100%の対策は存在しないということを前提にする必要があります。

 そのため、経営者は完全な対策はないという現実を受け入れて、一定のリスクを取らなければならないのです。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧