セキュリティROIの追及は逆効果 遠回りが正しい道

「世の中で起きた事故に対策することが遠回りのようで実は正しい道だと思う」と、ITmedia エグゼクティブフォーラムで講演したカーネギーメロン大学大学院の武田教授。また、投資対効果にこだわりすぎると、結果的にリスクを高めることにもなりそうだ。

[岡田靖，ITmedia]

　「製造業などでは、他社の事故事例を基に、ミスや事故が起こらないように対策を行っている。情報セキュリティでも同様の考え方が有効ではないか」――カーネギーメロン大学大学院情報セキュリティ研究科の武田圭史教授は、過去の事故例を基に情報セキュリティを考えるのが第一になると考えている。ITmedia エグゼクティブフォーラムで話した。

　「格好良くないかもしれないけど、世の中で起きた事故に対策することが遠回りのようで実は正しい道だと思う」

キーワードは“見える化”

　そのキーワードは“見える化”だという。同氏は、「資産」「脅威」「脆弱性」「管理」「投資対効果」の5つの視点から情報セキュリティにおける“見える化”を整理。これらを基にして自社で必要とされるセキュリティを定義できる、とアドバイスする。

カーネギーメロン大学大学院情報セキュリティ研究科の武田圭史氏

　例えば、資産の見える化は、情報資産を棚卸しして、守るべきものを明確にすることを意味している。セキュリティを「秘匿性」「完全性」「可用性」という観点で管理の方法を見極める。ISMSの導入にも必要とされているものだ。

　「表に並べて1つ1つを見極めると、保護ポイントを明確にすることに役立つ」

　ファイル共有ソフトで情報漏えいをしてしまうようなケースは、必要なデータは誰でも手元に置いておきたいと考え、重要なデータをPCにコピーするのが原因となる。このようなものも1つ1つ見極めれば、重要なデータを必要な人のところに安全に届ける仕組みがないということが分かる。

　このような事故が自社で発生していなくても、他の企業の失敗例から想定するのも効果的だ。工場を持つメーカーの製造工程では、当たり前のようにやられている取り組みだが、このようにリスクを見つけ認識することで、脅威は“見える化”される。

　「発生している事故の98％くらいは既知のもの。まずはこれら脅威から1つ1つ対策していくのがよいだろう」（武田氏）

IPAの情報セキュリティ対策ベンチマークを使えば同業他社の取り組みと比較して自社の位置を知ることができる。これは管理の見える化の例という

単発の事故には対策しない方が有利？！　危険なROI追及

　企業が情報セキュリティに取り組む上で最も重要かつ難しいのが、投資対効果をはっきりさせることだろう。これが“見える化”できれば、限られたセキュリティ予算の中で優先すべき対策を決めることができるが、それを算定するのは難しい。

　リスクの期待損失額は、理論的には「事故の発生確率×損失」の式で計算できる。しかし、新たな脅威が登場することが多いのが情報セキュリティの世界では、保険の計算のように事故の統計情報から確かさの高い数値を引き出して、計算するということができないからだ。

　「セキュリティROI （return on investment）と簡単に言うが、一言では言い切れない難しさがある」

　また投資対効果を考えてばかりいると、「まったく対策を立てないという考え方も成り立ってしまう」ということも起こる。

　「事故が起きないなら対策しない方が有利だし、事故が起きた場合でも、その対策費用と損失が同じなら対策していない方が有利になる。いずれも単発の事故には対策していない方がコスト的に有利だと言えてしまう」

　とはいえ、セキュリティ対策を講じなければ、情報漏えいの発生を防ぐことはできないし、発生してしまった後の対応も後手に回る。損失は膨れ上がりかねない。特に、情報漏えい事件の場合は、漏れたこと自体よりも、その後の対応の方が報道や世論の反応のポイントとなっている。事故後の対応がおろそかでは、より大きなリスクへと転化させてしまう可能性もある。