ニュース
» 2007年11月21日 12時32分 UPDATE

セキュリティROIの追及は逆効果 遠回りが正しい道

「世の中で起きた事故に対策することが遠回りのようで実は正しい道だと思う」と、ITmedia エグゼクティブフォーラムで講演したカーネギーメロン大学大学院の武田教授。また、投資対効果にこだわりすぎると、結果的にリスクを高めることにもなりそうだ。

[岡田靖,ITmedia]

 「製造業などでは、他社の事故事例を基に、ミスや事故が起こらないように対策を行っている。情報セキュリティでも同様の考え方が有効ではないか」――カーネギーメロン大学大学院情報セキュリティ研究科の武田圭史教授は、過去の事故例を基に情報セキュリティを考えるのが第一になると考えている。ITmedia エグゼクティブフォーラムで話した。

 「格好良くないかもしれないけど、世の中で起きた事故に対策することが遠回りのようで実は正しい道だと思う」

キーワードは“見える化”

 そのキーワードは“見える化”だという。同氏は、「資産」「脅威」「脆弱性」「管理」「投資対効果」の5つの視点から情報セキュリティにおける“見える化”を整理。これらを基にして自社で必要とされるセキュリティを定義できる、とアドバイスする。

武田圭史氏 カーネギーメロン大学大学院情報セキュリティ研究科の武田圭史氏

 例えば、資産の見える化は、情報資産を棚卸しして、守るべきものを明確にすることを意味している。セキュリティを「秘匿性」「完全性」「可用性」という観点で管理の方法を見極める。ISMSの導入にも必要とされているものだ。

 「表に並べて1つ1つを見極めると、保護ポイントを明確にすることに役立つ」

 ファイル共有ソフトで情報漏えいをしてしまうようなケースは、必要なデータは誰でも手元に置いておきたいと考え、重要なデータをPCにコピーするのが原因となる。このようなものも1つ1つ見極めれば、重要なデータを必要な人のところに安全に届ける仕組みがないということが分かる。

 このような事故が自社で発生していなくても、他の企業の失敗例から想定するのも効果的だ。工場を持つメーカーの製造工程では、当たり前のようにやられている取り組みだが、このようにリスクを見つけ認識することで、脅威は“見える化”される。

 「発生している事故の98%くらいは既知のもの。まずはこれら脅威から1つ1つ対策していくのがよいだろう」(武田氏)

管理の見える化の例 IPAの情報セキュリティ対策ベンチマークを使えば同業他社の取り組みと比較して自社の位置を知ることができる。これは管理の見える化の例という

単発の事故には対策しない方が有利?! 危険なROI追及

 企業が情報セキュリティに取り組む上で最も重要かつ難しいのが、投資対効果をはっきりさせることだろう。これが“見える化”できれば、限られたセキュリティ予算の中で優先すべき対策を決めることができるが、それを算定するのは難しい。

 リスクの期待損失額は、理論的には「事故の発生確率×損失」の式で計算できる。しかし、新たな脅威が登場することが多いのが情報セキュリティの世界では、保険の計算のように事故の統計情報から確かさの高い数値を引き出して、計算するということができないからだ。

 「セキュリティROI (return on investment)と簡単に言うが、一言では言い切れない難しさがある」

 また投資対効果を考えてばかりいると、「まったく対策を立てないという考え方も成り立ってしまう」ということも起こる。

 「事故が起きないなら対策しない方が有利だし、事故が起きた場合でも、その対策費用と損失が同じなら対策していない方が有利になる。いずれも単発の事故には対策していない方がコスト的に有利だと言えてしまう」

 とはいえ、セキュリティ対策を講じなければ、情報漏えいの発生を防ぐことはできないし、発生してしまった後の対応も後手に回る。損失は膨れ上がりかねない。特に、情報漏えい事件の場合は、漏れたこと自体よりも、その後の対応の方が報道や世論の反応のポイントとなっている。事故後の対応がおろそかでは、より大きなリスクへと転化させてしまう可能性もある。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!  旅行券(5万円)をプレゼント!

「ITmedia エグゼクティブ」は上場企業および上場相当企業の課長職以上の方が約5500人参加している無料の会員制サービスです。
 会員の皆さまにご参加いただけるセミナーや勉強会などを通じた会員間の交流から「企業のあるべき姿」「企業の変革をつかさどるリーダーとしての役割」などを多角的に探っていきます。
 新規でご入会いただいた方の中から抽選でお1人さまに、JTB旅行券(5万円)をプレゼントします。初秋の旅で、日頃の疲れをいやしていただければと選びました。どうぞご応募ください。

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆