連載
» 2009年01月06日 10時00分 公開

セキュリティ、そろそろ本音で語らないか(2):情報セキュリティコスト削減、4つのアプローチ (1/3)

セキュリティコストの削減はいつ、どのようにして実行すべきなのでしょうか。その削減方法と考え方は日本的になっていませんでしょうか。言いたくても言えなかったことをズバリ指摘する連載、第2回はコスト削減の手法について解説します(編集部)

[三輪信雄(S&Jコンサルティング株式会社),@IT]

 第1回の「IT界の埋蔵金? 手付かずのセキュリティコストと戦う」は、これまで脅威論誘導型でその場その場で増改築を繰り返してきた情報セキュリティ対策にかけられているコストを削減するときが来た、というお話をさせていただきました。そういえば、情報セキュリティの基本中の基本としていわれている「PDCAサイクル」ですが、振り返ってみると「Doばっかり」「DoなしPCA」になっている組織も少なくありません。

ぞうきんは絞れる方がいい

 私は上場会社の社長をやっていた経験もあるので、経営者からの目線で考えるなら、コスト削減はいざというときに実行する方がいいのです。これはどういう意味かというと、特に追い詰められていないときから、ケチケチ細かいところまでコスト削減の徹底をやっていると、経営が行き詰まったときに絞りようがない、ということです。

 これはつまり、平常時にはある程度の無駄には目をつむっておこうという考えです。別な意味としては「体力」ということもできるでしょう。ちょっとくらい太っていてちょうどいい、ということです。情報セキュリティ対策コストというのはまさにこの「脂肪」に当たると考えられます。

 誤解を恐れずズバリいってしまうと「セキュリティはカネとヒマのあるときに余力でやっている」のです。例えば、現在の世界的な経済危機の影響を受けて、売り上げが減少して資金繰りに行き詰まりかけているときに、「社長、情報漏えい対策の新しい製品が出ました。これを買えばわが社の情報漏えいリスクは少し減ります」と稟議(りんぎ)を書いても相手にされないことでしょう。それよりも「いま払っているセキュリティコストで、削ってすぐには困らないものはないのか?」と問い詰められることでしょう。「いますぐ困らないものは削れ!」が至上命令です。

 これをセキュリティ専門家は「ダメ経営者の典型」と笑いものにするかもしれませんが、立場が変わったら同じことをいうと思います。経営者にとって、会社がなくなる以上のリスクはないのですから。彼らはひとたび事業が継続できないようなピンチに陥ったときには、その脅威との相対比較で物事を判断します。

 もちろん、経営がピンチのときに情報漏えい事件を起こして致命傷になることは避けなければいけませんが、そのためにどれだけコストをかけられるか、という判断は非常に難しいものです。こういうときにこそ、コストをかけないでしのぐ方法を実践できるかできないかで大きな違いが出るかもしれません。日常的にSIer(システムインテグレータ)に任せっきりで自分では判断できないようになってしまっている企業は生き残れないかもしれませんね。

 このように、幸か不幸か情報セキュリティ対策は多くの企業、組織にとって「絞れるぞうきん」なのです。工夫次第で外部に支払うコストを抑えて、知的生産性まで上げられる可能性が高いのです。

セキュリティ基本計画で「コスト」という言葉が頻出する理由

 筆者が委員を務めさせていただいている情報セキュリティ政策会議基本計画検討委員会において議論されパブリックコメントとして公開された「『第2次情報セキュリティ基本計画』(案)に関する意見の募集について」においては、「コストと効果のバランス」「コストや利便性とのバランス」「リーズナブルなコスト」「妥当なコスト」、さらには「政府全体として情報セキュリティ対策を含めた情報システムのTCO(Total Cost of Ownership:システムの導入、維持・管理などにかかる費用の総額)の低減を推進するための手法について検討を行う」など、コストに関して数多く記述されています。以前のように、情報セキュリティを最優先させるのではなく、情報システム全体、経営全体、社会全体の中でのバランスが必要である、とされています。

 この基本計画は2009年4月からの3カ年にわたる日本における情報セキュリティに関する政策の基本計画となるもので、この基本計画に従って具体的な政策が実行されていくのです。その中でもコストについての多くの記述があるということは、今後は情報セキュリティ製品やサービスは、脅威論だけでなくコストや利便性をも意識したものになっていかなければいけないということを表しています。同時に、われわれは単なるバランスではなく、限られたリソース(人的、予算的、技術的など)の中で最大限の効果を出す工夫をしていかなければならないのです。

 情報セキュリティ予算が「聖域」であったのは過去のこととなりました。

Index

情報セキュリティコスト削減、4つのアプローチ

Page1
ぞうきんは絞れる方がいい
セキュリティ基本計画で「コスト」という言葉が頻出する理由

Page2
コスト削減の基本的な考え方
-システム投資コスト:システムそのものへの支払いを減らせ
-マネジメントコスト:できる限り自動化せよ
-知的生産性向上:士気を下げるな
-クラウドコンピューティング:新技術、そして相手を信じよ

Page3
ISMS認証取得組織数の不思議


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。