ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ対策の費用は
「コスト」か「投資」か

デロイト トーマツ リスクサービス
【第3回】 2017年5月16日
著者・コラム紹介バックナンバー
previous page
3
nextpage

セキュリティに投資しない
という判断が必要なのは、どんな場合か

 具体的には、「こんな攻撃を受けるとサーバがダウンしてシステムが止まる」「情報漏えいが起きる」といった技術的な問題やそれに直接起因する現象ではなく、「事業が止まり、1日あたり数億円分の機会損失が起きる」「情報漏えいの事後対策に人員が奔走することで、本来の事業の成長が2ヵ月遅延する」「今年度の決算で特別損失を計上する必要がある」といった事業そのものに対する影響度に注目する必要があります。その上で、事業に対する影響度が小さいならば優先度を下げ、投資しないという判断をすればよいことになります。

 この「投資しない」という判断をすることは、すなわちサイバーセキュリティに関するリスクを取る(=受容する)ことを意味します。リスクを取ることには責任が伴うため、これは最終的に経営者の意思決定に委ねられるということになります。

 一方でサイバーセキュリティに限らず、他の全ての事業リスクも含めて、その影響度や損失額、発生確率等が確実にわかっていたり、取り得る選択肢が全て完全に把握できているということはありません。

 この点については経営学者サイモン(1947)が「限定合理性」として示しています。この限定合理性では、そもそも完全に合理的な費用便益計算に基づいた意思決定はできないとしています。つまり合理的と「考えられる」選択肢を選ぶ意思決定をするということは、ある限られた条件と範囲の中で最も合理的であるに過ぎないということであって、費用便益計算について完全に合理的な計算は成し得ないということを前提にする必要があるとしています。

 つまり経営者にとっては、想定される被害額や企業のイメージダウン、顧客離れ、行政処分など各種の問題が起きることによる事業への影響度をある程度予測できるものの、最終的には不完全な情報を元に投資の意思決定を行わなければならないということになります。

previous page
3
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧