セキュリティに「完璧」はない
だから、投資判断が難しい
――経営者はどうやって判断材料を得るべきか

セキュリティ対策に代表されるITリスク対応は、いかなる企業にとっても不可避だが、個々の対策案件について的確な投資判断を下すことは非常に難しい。今回は、経営者や意思決定者が、セキュリティ投資案件の必要性や重要度を正しく理解し、投資妥当性の的確な判断を下すための考え方を示す。

セキュリティ投資のむずかしさ

 情報セキュリティ対策に一定の予算を投じることは不可避だが、セキュリティに投資したからといって業務効率が向上するわけでもなければ、売上げ増大や顧客サービスの向上に直接的に寄与するわけでもないため、その投資判断は一般的なIT投資評価の手法とは異なる考え方が必要となる。

 ITRが毎年実施している「IT投資動向調査2014」によると、企業のIT予算に占める2013年度のセキュリティ対策費用は平均で11.5％となっている。この値は、業種、企業規模、ビジネスのITへの依存度などによって大きなばらつきがあり、この平均値を高いと見るか、低いと見るかは、それぞれの企業の考え方次第であり、何パーセントが妥当な水準であるかを示す基準も存在しない。

 確かに、潤沢な予算を投じれば情報セキュリティの成熟度は一定のレベルで高まるが、完璧な対策というものは存在せず、リスクをゼロにすることはできない。

 また、外部環境や自社要件への変化に応じて、新たな脅威やリスクは常に発生するため、永遠に対策を講じ続けなければならない。したがって、適正なセキュリティ投資を行うためには、自社のシステム環境の脆弱性やセキュリティ管理プロセスの成熟度を大局的な視点から棚卸しすることと、個別の投資案件の重要性や影響度を的確に把握することの2点が重要となるが、本稿では後者に焦点を当てて考えてみよう。

 多くの企業でコスト抑制圧力が強まり、IT投資とその効果についての説明責任を強く問う気運が高まっているが、個別の情報セキュリティ投資案件の妥当性や投資効果を定量的に評価する有効な手法は存在しない。

 基本的なリスク分析やビジネス影響分析（BIA）では、守るべき資産の価値、脅威の発生頻度、脆弱性、1回あたりの想定損失額などから、リスクの大小や対策の優先度を検討するのが一般的な手法となっているが、情報セキュリティ投資案件のすべてがこの方式に当てはまるほど単純なものではない。