第6回 情報セキュリティは情報システムコストを削ってから?
三輪 信雄
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
2009/4/23
情報セキュリティの重要性は誰もが知るところでしょう。では、それを実現するためのコストはどこから工面すべきなのでしょうか(編集部)
コスト削減にたちはだかる大きな壁
2008年ごろから情報セキュリティのコスト削減をテーマに取り組んできましたが、ここにきて大きな壁があることに気が付きました。それは情報セキュリティコストが情報システムコストの一部としてとらえられていることです。
本来、情報セキュリティは情報システムの一部ではありません。情報セキュリティは「情報管理」というすべての業務に薄く広く網羅的にかけられるものであり、これには従業員への教育や協力会社の情報管理など、システム的な対策も含まれます。しかしながら、日本においては情報システム部長が「CISO」を兼任することが多く、そのため情報セキュリティコストは情報システム全体の中で考えられています。
そこで今回は情報システムの“コスト”について注目したいと思います。
納得していますか? 運用コストの算出方法
私の知人や取引先に聞いてみたところ、開発や設備投資などの新規投資コストと、既存システムの運用コストを比較すると、3対7から4対6くらいが多いようでした。極端なところでは1対9の比率にまで運用コストが膨らんでいるところもありました。
では、情報セキュリティのコストはどれくらいの割合か、と聞いてみると、コスト全体の3〜5%程度が最も多い回答でした。これは情報セキュリティ対策におけるシステム的なコストのみですが、とても少ないように思いませんか?
一昔前のセキュリティ関連のセミナーなどでは「30〜40%はかけるべきである」といわれることも多かった情報セキュリティコストですが、現実的にはシステムへの投資がほとんど行われていないことが分かってきました。さらに悪いことに、システム的な情報セキュリティ対策に取り組もうとしても、情報システム部門が多忙、かつ予算削減の波で、新しい稟議(りんぎ)は通りにくいのが現状です。
情報システム全体のコスト削減を行いつつ、情報セキュリティへ投資をすべきですが、大きな壁は既存システムの運用コストです。新規のシステム開発を行ったあと、あるいは新しい通信機器、サーバなどを購入すれば、保守運用コストが必ずかかります。一般的には購入コストの15〜25%程度が保守運用にかかります。
この保守運用コストが積み上げられて、情報システム予算が圧迫されています。そして、これらはすでに結ばれている契約に基づくコストなので、いまさらどうしようもありません。これはつまりシステムインテグレータの利益構造ともいえます。彼らの収益も大半は運用によるものなのです。
システムインテグレータは開発で赤字を出し、運用で取り返すということをしてきました。その結果、運用コストが膨らみ続けていったのです。ではなぜ開発が赤字なのでしょうか。ひと言でいってしまえば、これはユーザーの責任といえます。
ユーザーに力がないからなのか、ユーザーを骨抜きにしたからなのか……どちらが先かは分かりません。ユーザーは仕様をあいまいにしか表現せず、システムインテグレータはそれをあいまいなまま開発に持ち込み、仕様変更を多発させ厳しい納期の中でバグが生まれ、納品後も仕様変更とバグの対応に追われるので運用コストを高くせざるを得ない事情があります。
ユーザーは調達時にも安い方を選ぶのですが、複数年にわたる保守運用コストまでも考慮した調達はあまり行われません。そもそも調達時点の仕様もあいまいで「あとで何とかなるさ」という暗黙の了解のもとで調達、開発が進んでいきます。
また、開発や構築の時点では細かく見積もりを取り、出てくる金額をきっちりと精査しますが、保守費用は全体の一定割合という算出方法を受け入れています。システムインテグレータの収益構造から考えても、保守運用にかかる負担コストは少ないはずです。保守費用は実際にかかっているコストから算出した金額ではないため、金額に見合ったサービスは受けられていないかもしれません。
しかしながら、システムインテグレータは大もうけしているか、といえばそうでもなく、どこも厳しい状況です。ユーザーも厳しいしシステムインテグレータも厳しいという、誰もハッピーになっていない構造です。
1/3 |
 |
| Index | |
| 情報セキュリティは情報システムコストを削ってから? | |
 |
Page1 コスト削減にたちはだかる大きな壁 納得していますか? 運用コストの算出方法 |
| Page2 最初にすべきことは「きっちりとした仕様策定」 あいまいな仕様作成のツケ |
|
| Page3 情報セキュリティを言い訳にしていませんか |
|
セキュリティ、そろそろ本音で語らないか バックナンバー
- 第1回 IT界の埋蔵金? 手付かずのセキュリティコストと戦う
- 第2回 情報セキュリティコスト削減、4つのアプローチ
- 第3回 CISO考――ところで、CISOって必要ですか?
- 第4回 “セキュアなWebアプリ”に立ちはだかる課題
- 第5回 中堅企業には中堅企業ならではのセキュリティ対策を
- 第6回 情報セキュリティは情報システムコストを削ってから?
- 第7回 プログラマをやって思うこと
- 第8回 非常時のために「さらば分厚い規定集」といおう
- 第9回 求む、新時代のセキュリティアーキテクチャ
- 第10回 誌上セミナー「拡大を続けるログ砂漠」
- 第11回 犯罪者の「否認」に対応するには
- 第12回 セキュリティシステムをマネジメントせよ
- 第13回 「脆弱性根絶なんてできっこない」と嘆く前に
- 第14回 求む、納得できる仮想プライベートサーバ
- 第15回 納得できる仮想プライベートサーバ探し、その後
- 第16回 クラウドセキュリティにコストをかける覚悟はあるか
- 第17回 転居のお知らせ、「仮想サーバへ引っ越しました」
- 第18回 機密情報の漏えいがあぶり出した転換点
- 第19回 自宅作業時のセキュリティを考える
- 第20回 PSN Hacked――問題の根はどこに?
 |
セキュリティ、そろそろ本音で語らないか 連載インデックス |
TechTargetジャパン
- 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い - イベントの秋と盛り上がったプライバシー問題 (2011/12/13)
イベントが各所で開催され、賑わう一方で、プライバシー関連の話題が引き続き議論の焦点に
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。