開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2007/10/12

【連載】情報セキュリティの投資対効果を追求する(1)情報セキュリティの投資対効果とは?

これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。

加藤道明

加藤道明

○シニアセキュリティコンサルタント ○JIPDEC ISMS主任審査員(ISJ-B00023) ○財団法人日本科学技術連盟所属MS審査員(ISMS、ITSMS、BCMS) ○平成15年度保健医療福祉分野ISMS制度WGメンバー ○電気情報通信学会員  金沢工業大学大学院(情報工学専攻)卒業、1986年関西日本電気入社、日本電気、住商情報システムのセキュリティ・ソリューション課長を経て、2004年9月独立開業、現在に至る。  基幹業務システム(主に販売管理と生産管理)と情報通信およびセキュリティに精通。1997年、金沢市と米国サンフランシスコのオフィス間にVPN(仮想閉域網)を構築。以来、ネットワークセキュリティ、情報セキュリティマネジメント、個人情報保護に関して、コンサルティングや教育およびシステム設計で数多くの実績を持つ。また、行政系介護支援事業における個人情報保護コンサルティングおよび同事業情報セキュリティ委員会事務局などの経験もあり。ISMS/BS7799、プライバシーマーク認証取得および運用、また、システムセキュリティ設計の実績豊富。

有効性は目的の達成度により判断すべき

 “有効性”を管理策の実施率の高さと誤解している企業がある。先にも述べたように、管理策は手段であり目的ではない。たとえば、管理策の実施率が高くても、目的に対して見れば有効でない場合もある。よって、有効性は管理策の実施率ではなく、目的の達成度により判断すべきである。

 目的の達成度をどのように測定するか物差しを創造し、測定・評価する。また、有効性を評価することによって、無駄な管理策を洗い出すこともできる。無駄な管理策を排除することは、経営の合理化にとっても大切なことである。

情報セキュリティの目的は“守り”だけではない

 日本における情報セキュリティは、企業における不祥事の続発をきっかけに普及するに至った。しかし、数々の規範に示されている情報セキュリティの目的には、もう1つの視点がある。情報セキュリティに関するJIS規格の1つである“情報セキュリティマネジメントの実践のための規範(JIS Q 27002:2006)”の序文に、情報セキュリティの目的についての記述がある。「事業継続を確実にすること、事業リスクを最小限にすること、並びに投資に対する見返り及び事業機会を最大限にすることを目的として、情報セキュリティは、広範囲にわたる脅威から情報を保護する。」とある。

 「事業継続を確実にすること、事業リスクを最小限にすること」は、不祥事に対する予防処置であり、企業が情報セキュリティに取り組む理由として最も多い。もう1つ、「投資に対する見返り及び事業機会を最大限にすること」という目的が示されている。これは、事業を発展させるための施策と解釈できる。たとえば、自社が提供するサービスに付加価値を付けることなどが考えられる。前者を“守り”のセキュリティとするならば、後者は“攻め”のセキュリティである。投資対効果への期待は、一般的に前者よりも後者の方が大きいと考えられる。

 企業におけるグローバル化は大きな流れである。国際的な競争に負けないためにも、企業価値を高めなければなければならない。情報セキュリティの取り組みにおいても、そろそろ、不祥事に対する予防処置だけではなく、競争力をアップするような施策としての取り組みも始めてはいかがだろうか。

合理的な管理策を追求すべき

 IT化を阻害するようなセキュリティ、競争力を削ぐようなセキュリティでは、不祥事に対する予防処置ができても、事業展開がやりにくくなり、場合によっては事業継続自体危うくなりかねない。たとえば、デスクの電話機を交換するのに、通信技術者を雇う必要はない。トレードオフの関係が認められる。情報セキュリティには、多種多様な管理手法が存在する。情報があるから管理策を導入するという単調な発想は危険である。

 “守り”のセキュリティであっても、事故発生時、事業に与える影響(損害賠償、信用失墜、法令違反などの可能性)がどの程度あるによって適度な目的を設定し、過剰でない管理策を選択するべきである。たとえば、想定される損害が100億円と100万円では、選択すべき管理策は異なってくるはずである。また、事業に与える影響が極小なリスクについては、貴重な工数を割いてまで管理する必要はない。“守り”にしろ“攻め”にしろ、合理的な管理策を追求すべきである。


 次回以降、組織的安全管理、物理的安全対策、技術的安全対策などにおいて、目的をどのように設定し、目的の達成度をどのように評価していくかについて、具体例をご紹介していくことにする。

≪次回につづく≫

《撮影:郡川正次》

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

関連リンク

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!