【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷


第2回 情報セキュリティコスト削減、4つのアプローチ


三輪 信雄
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
2009/1/6
セキュリティコストの削減はいつ、どのようにして実行すべきなのでしょうか。その削減方法と考え方は日本的になっていませんでしょうか。言いたくても言えなかったことをズバリ指摘する連載、第2回はコスト削減の手法について解説します(編集部)

 第1回の「IT界の埋蔵金? 手付かずのセキュリティコストと戦う」は、これまで脅威論誘導型でその場その場で増改築を繰り返してきた情報セキュリティ対策にかけられているコストを削減するときが来た、というお話をさせていただきました。そういえば、情報セキュリティの基本中の基本としていわれている「PDCAサイクル」ですが、振り返ってみると「Doばっかり」「DoなしPCA」になっている組織も少なくありません。

 ぞうきんは絞れる方がいい

 私は上場会社の社長をやっていた経験もあるので、経営者からの目線で考えるなら、コスト削減はいざというときに実行する方がいいのです。これはどういう意味かというと、特に追い詰められていないときから、ケチケチ細かいところまでコスト削減の徹底をやっていると、経営が行き詰まったときに絞りようがない、ということです。

 これはつまり、平常時にはある程度の無駄には目をつむっておこうという考えです。別な意味としては「体力」ということもできるでしょう。ちょっとくらい太っていてちょうどいい、ということです。情報セキュリティ対策コストというのはまさにこの「脂肪」に当たると考えられます。

 誤解を恐れずズバリいってしまうと「セキュリティはカネとヒマのあるときに余力でやっている」のです。例えば、現在の世界的な経済危機の影響を受けて、売り上げが減少して資金繰りに行き詰まりかけているときに、「社長、情報漏えい対策の新しい製品が出ました。これを買えばわが社の情報漏えいリスクは少し減ります」と稟議(りんぎ)を書いても相手にされないことでしょう。それよりも「いま払っているセキュリティコストで、削ってすぐには困らないものはないのか?」と問い詰められることでしょう。「いますぐ困らないものは削れ!」が至上命題です。

 これをセキュリティ専門家は「ダメ経営者の典型」と笑いものにするかもしれませんが、立場が変わったら同じことをいうと思います。経営者にとって、会社がなくなる以上のリスクはないのですから。彼らはひとたび事業が継続できないようなピンチに陥ったときには、その脅威との相対比較で物事を判断します。

 もちろん、経営がピンチのときに情報漏えい事件を起こして致命傷になることは避けなければいけませんが、そのためにどれだけコストをかけられるか、という判断は非常に難しいものです。こういうときにこそ、コストをかけないでしのぐ方法を実践できるかできないかで大きな違いが出るかもしれません。日常的にSIer(システムインテグレータ)に任せっきりで自分では判断できないようになってしまっている企業は生き残れないかもしれませんね。

 このように、幸か不幸か情報セキュリティ対策は多くの企業、組織にとって「絞れるぞうきん」なのです。工夫次第で外部に支払うコストを抑えて、知的生産性まで上げられる可能性が高いのです。

 セキュリティ基本計画で「コスト」という言葉が頻出する理由

 筆者が委員を務めさせていただいている情報セキュリティ政策会議基本計画検討委員会において議論されパブリックコメントとして公開された「『第2次情報セキュリティ基本計画』(案)に関する意見の募集について」においては、「コストと効果のバランス」「コストや利便性とのバランス」「リーズナブルなコスト」「妥当なコスト」、さらには「政府全体として情報セキュリティ対策を含めた情報システムのTCO(Total Cost of Ownership:システムの導入、維持・管理などにかかる費用の総額)の低減を推進するための手法について検討を行う」など、コストに関して数多く記述されています。以前のように、情報セキュリティを最優先させるのではなく、情報システム全体、経営全体、社会全体の中でのバランスが必要である、とされています。

 この基本計画は2009年4月からの3カ年にわたる日本における情報セキュリティに関する政策の基本計画となるもので、この基本計画に従って具体的な政策が実行されていくのです。その中でもコストについての多くの記述があるということは、今後は情報セキュリティ製品やサービスは、脅威論だけでなくコストや利便性をも意識したものになっていかなければいけないということを表しています。同時に、われわれは単なるバランスではなく、限られたリソース(人的、予算的、技術的など)の中で最大限の効果を出す工夫をしていかなければならないのです。

 情報セキュリティ予算が「聖域」であったのは過去のこととなりました。

1/3

Index
情報セキュリティコスト削減、4つのアプローチ
Page1
ぞうきんは絞れる方がいい
セキュリティ基本計画で「コスト」という言葉が頻出する理由
  Page2
コスト削減の基本的な考え方
-システム投資コスト:システムそのものへの支払いを減らせ
-マネジメントコスト:できる限り自動化せよ
-知的生産性向上:士気を下げるな
-クラウドコンピューティング:新技術、そして相手を信じよ
  Page3
ISMS認証取得組織数の不思議

セキュリティ、そろそろ本音で語らないか バックナンバー


セキュリティ、そろそろ本音で語らないか 連載インデックス

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ