IT界の埋蔵金? 手付かずのセキュリティコストと戦う:セキュリティ、そろそろ本音で語らないか(1)(3/3 ページ)
情報セキュリティコストは埋蔵金!?
最近、よく耳にする埋蔵金。これは広い意味では、有効活用すれば利益に転じることができる資産も含まれます。例えば、霞が関に近いところにある広大な敷地の政府系建造物で、そこにある必要がまったくないもの、などです。
では、会社における情報セキュリティにかかっているコストについて考えてみましょう。コストというと、出ていくお金、というイメージがありますが、そればかりではありません。情報セキュリティの名の下に犠牲にされた知的生産性の低下もコストとして私は算出するようにしています。
筆者は下記のように情報セキュリティコストを定義しています。次回以降で詳しく解説しますが、主な要素の概要は以下のようなものです。
情報セキュリティコスト
= 投資コスト + マネジメントコスト + 知的生産性低下
「投資コスト」とは、情報セキュリティ製品を買うための費用や構築、運用コスト、専門コンサルタントを雇う費用、脆弱性検査やセキュリティ監視サービスなどを受けるコストなどの外部に支払われることの多いコストを指します。
「マネジメントコスト」とは、社内でのポリシー策定や運用部門の人件費、教育を実施するためのコスト、教育を受けるために本来業務を中断する人件費などが主な要素です。日本のセキュリティ対策においてはこの部分に非常に多くの時間が割かれているのが特徴です。
「知的生産性低下」とは、ノートPCが持ち出し禁止になった結果、自宅や喫茶店での作業ができなくなったり、複雑で複数のパスワードの暗記に脳細胞を酷使したり、息抜きのホームページすら閲覧禁止になったり、ちょっとした冗談の私的メールが監視されていたり、社員のやる気をそぐような施策による知的な生産性の低下を意味します。この知的生産性の低下は非常に大きくなってしまっており、そろそろ手を打つべき時期に来ていると筆者は痛感しています。
例えば、守れもしないルールの教育コスト、持ち出し禁止のノートPCによる自宅や喫茶店での仕事ができないロス、なども情報セキュリティコストとして考えるとコスト算出が見える化されるのです。
さらに、製品群の整理統合、ルールの徹底からオートメーション化によるマネジメントコストの削減により、コスト削減は十分可能であると筆者は考えています。
コスト削減は企業を救う重要な施策であり、いまこそ情報セキュリティコストの削減に取り組む、いや、取り組める大きなチャンスだと思っています。このまま好景気が続いていたらきっとさらにコストは膨らんでいっていたことでしょう。
今回はここまでとさせていただきます。これまで情報セキュリティコストは聖域であったのですが、いよいよ見直しの時期が迫ってきたと肌で感じていますし、最近出会ってお話しする方も同様のことをおっしゃいます。これを読んでくださっている少なからぬ方々にご賛同いただけるのではないでしょうか。
次回は、情報セキュリティコストの個々について掘り下げるとともに、コスト削減の代表的な手法についても触れていきたいと思います。
三輪 信雄(みわ のぶお)
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。