第3回 リスクの回避と信頼の獲得のために「お金を使うこと」の意義『セキュリティ』の投資対効果
CIO MAGAZINE 2000年9月号掲載
「セキュリティ・システムに投資して、 果たしてどんな見返りがあるのか」
──企業の経営者ならば、 誰もがこうした疑問を抱くはずだ。
ただし、セキュリティ・システムは、直接的な 利益(例えば、売上げの向上や業務の効率化といったメリット)を企業にもたらすITではない。
それゆえに、その投資対効果を測定することは、他のITに比べると難しい。そこで重要になるのが、経営リスクをきちんと分析することである。
そうすれば、セキュリティへの投資がもたらす効果(リターン)が、自ずと明確に なってくるのだ。
セキュリティを確保することの意義
例えば、システムの予期せぬトラブルによって、生産ラインがストップしたり、(顧客が)eコマース・サイトにアクセスできない状態が長時間続いたりしたとしよう。そうなれば、当然企業は大きなダメージを被ることになる。
こうした万一の事故、トラブルの発生に備えること──それが広い意味での「セキュリティの確保」であると言える。
もちろん、「システム・トラブルは絶対に起こりえない」という確証があれば、あえてそのセキュリティを確保する必要はないだろう。
しかし、どのようなシステムであれ、トラブルに巻き込まれる心配が100%ないとは断言できない。そして、何らかの事故が発生した場合には、それに対する備えがないと、企業が被る損害・損失は甚大なものになりかねないのである。
「損害の少なさ」は「プラス」と考える
このように、セキュリティの確保に向けたITや施策は、企業の生産能力を向上させたり、売上げを拡大したり、あるいは省力化による人員削減を可能にしたりするためのものではない。つまり、企業にとって「プラス」の価値を生み出すソリューションではなく、不慮の事故による「マイナス(被害や損害)」を最小限にくい止めるための施策であるわけだ。企業経営にとって、「得点」を積み重ねることも大切だが、「失点」を抑えることもまた重要なのである。
ところが、そうしたセキュリティの重要性、もしくは価値についてきちんと認識し、経営上の必要経費として積極的に資金を投じている企業はまだそれほど多くない。というのも、企業の経営サイドでは、自社の業績を伸ばすことに気を取られるあまり、「セキュリティに投資しても、お金もうけにつながらない」、もしくは「発生するかどうか分からないトラブルのために投資するのは無駄だ」と考える向きが依然として少なくないからである。
しかし、「マイナスが少ないのは、プラスである」という発想こそ大切だ。
例えば、生産ラインでの不良品率が常態では10%だとしよう。ここに資金を投入して不良品率を5%まで削減したとする。仮に、通常のマイナス分、つまり10%を起点にしてとらえるならば、改善分の5%はプラスと見なすことができる。
今日の企業においては、こうした改善に向けた努力は当然のこととして行われている。セキュリティを確保するための施策も、実はこれと同じことなのである。
セキュリティへの投資効果を最大化するために
当然のことながら、マイナスを最小化するためにどの程度の資金を投じるかは、経営上の判断にゆだねられることになる。
例えば、何らかのシステムを導入し、不良品の発生率を5%削減したとしても、そのための投資がコスト効果をはるかに超えてしまうのでは意味がない。それは、セキュリティについても同様であり、さほど重要ではないデータや、システムを保護するために莫大な資金を投じるのは、ほとんど無意味だ。
したがって、セキュリティに資金を投じる際には、特定の事業展開によって期待される収益やそのリスクをしっかりと分析しておく必要がある。そして、あくまでもその期待収益の範囲内で、リスクの最小化に向けた投資を行うべきなのである。
このように、セキュリティに対してどの程度の資金を注入するかは、経営判断そのものと言える。したがって、セキュリティ・システムへの投資対効果を最大化するうえでは、経営とIT(情報技術)に精通した人物、つまりCIOが中心的な役割を果たすことになる。
ちなみに、企業の経営者がセキュリティ投資に消極的なもう1つの理由に、「セキュリティはITであり、IT関連の意思決定はIT組織の役割であって、自分たちの役割ではない」という意識がある。こうした意識があるために、企業経営者の多くが、セキュリティの価値や投資対効果についてあまり大きな関心を示そうとはしないのである。
もちろん、それはセキュリティに限った話ではなく、おそらくグループウェアにしても、イントラネットにしても、その導入効果を継続的に分析し、明確に把握している企業経営者は、それほど多くないだろう。
このような現状を併せて考えれば、CIO(もしくはCIO的な役割を持つ人物)の存在なくして、セキュリティ投資の効果を最大化することは、まず不可能であると言えるかもしれない
セキュリティの確保は企業間取引の必須要件
ところで、IT投資を行う際には、それによる効果をきちんと測定することが求められる。その原則は、セキュリティ・システムに関しても同じだ。
例えば、前述したとおり、セキュリティ・システムを導入する場合には、あらかじめ事業の収益やリスクを分析し、どれだけの投資を行えばどの程度のリスクが回避できるのかを正確に見定めておく必要がある。そうしたうえで、セキュリティ・システムの導入効果を最大化するよう資金を投じていく必要があるわけだ。おそらく、このような考え方(もしくは投資戦略)は、他のITやビジネスに対するそれと同じであろう。
ただし、セキュリティ投資の場合、それによる効果を数値化することは難しい。というのも、セキュリティは企業の「信頼性」にかかわる問題であり、そうした信頼性の上下を定量的に表すことは困難であるからだ。
ただし、いまやセキュリティは、企業の生死を左右する重要なポイントと化している。 実際、あるグループ企業は、グループ内で一定のセキュリティ基準を設け、これを満たしていない企業はグループから除外するといった方針を打ち出している。また、企業の中には、自社が定めるセキュリティ基準を満たしていない企業とは一切取り引きしないというところもある。
つまり、きちんとしたセキュリティ基盤を確立していない企業は、取引先を失うおそれも出てきているのだ。
さらに、金融監督庁が昨年発表した「金融検査マニュアル」では、「事務リスク管理」や「システムリスク管理」を検査対象にすることが明示されている。これは、セキュリティが、金融機関の評価のポイントになることを意味するものだ。それゆえに、金融機関では、一斉にセキュリティへの対応を急いでいる。
もはや、「セキュリティに投資して、どれだけもうかるか」などと言っている場合ではないのである。
