情報セキュリティコスト削減、4つのアプローチ：セキュリティ、そろそろ本音で語らないか（2）（2/3 ページ）

» 2009年01月06日 10時00分公開

コスト削減の基本的な考え方

　さて、どうやって情報セキュリティコストを削減していけばいいのでしょうか。コスト削減にはいくつかのアプローチがあります。以下にその代表的なものを挙げましょう。

システム投資コスト
マネジメントコスト
知的生産性向上
クラウドコンピューティング

●システム投資コスト：システムそのものへの支払いを減らせ

　まず、「システム投資コスト」ですが、これは情報セキュリティシステムそのものへの支払いを減らすというもので、誰にでも分かりやすい手法です。対策そのものをやめるのではなく、「システムの置き換え」と「システム統合」などを行います。

　現在シェアの高いAという製品を使っている場合に、新しく安価で販売され始めたBという製品に置き換える、ということなどが考えられます。実際に筆者がかかわっている案件で、次年度以降は保守料金のみになるA製品の保守更新をとりやめて、安価なB製品に置き換えることにより、新規購入コストを考慮しても3年間で試算すると大きなコスト削減になることが分かりました。

　これまででしたら、「わざわざ実績のあるA製品を実績の少ないB製品にするなんてありえない」という考えが主流であったと思いますが、「実績が少ないとしても社内で評価して使えると判断されれば、それに置き換える」という企業が出てきたのです。それくらいコスト削減は待ったなしなのです。

　また、これまで単機能の製品を複数組み合わせて使っていた場合に、統合製品に置き換えることによってコスト削減が可能になる場合があります。USBメモリの制御、HDD暗号化、ウイルス対策ソフトのパターンアップデート、セキュリティパッチ、不正接続PCの検疫など、それぞれが単一の製品として組み合わせて使っている企業は少なくありません。これらを統合する1つの製品に置き換えることで、保守料金と新規購入費用を比較しても大きなコスト削減になることがあるのです。また、複数の製品の管理コストも削減できますし、ログ統合管理も不要になります。

●マネジメントコスト：できる限り自動化せよ

　マネジメントコストの削減とは、人間が行っていた作業をできる限り自動化することによって削減効果が出ることを指します。人間のコストは非常に高いので、自動化するための製品導入コストを考えても十分に削減効果が出るのです。例えば、パソコンのパスワードに関するポリシーを周知徹底するのにどれくらいのコストがかかっているでしょうか？パスワードの長さ、複雑さ、更新頻度、これらの重要性を繰り返し教育する／教育されるコストは膨大なものです。これを社員全員に対して行わなければならないうえ、永遠に「徹底」は達成されないのです。

　例えば、パスワードを更新しないとどういうことが起こるのかというと、そのパスワードが誰かに使われてしまう、ということが考えられます。そのために頻繁に更新する、というのであれば、生体認証やICカード認証にすれば、そもそもなりすましのリスクは激減するでしょう。しかもシステムとして全PCに導入してしまえば、教育しなくてもリスクを減らすことができるのです。社員が1万人の会社で全社員の時間のうち4時間を年間で教育される時間とパスワードの変更に使うとして、時給が3500円換算で試算すると3500円×4H×10000=1億4000万円にもなります。これに教育を行う推進者の人件費、旅費交通費を計算するととても大きな額になることが分かります。しかしシステムを導入すれば、長い複雑なパスワードを暗記する努力も節約できます。

　このように、社内の教育、啓発活動にかかわる項目を1つでも減らすと大きな削減効果があるのです。逆にいえば「周知徹底」を主な手段に頼ったルールの追加は非常なコストに直結するということにもなります。

●知的生産性向上：士気を下げるな

　知的生産性の向上とは、禁止や手続きの煩雑化に依存したセキュリティ対策により低下した社員の生産性の改善のことを指しています。よく見掛ける「～禁止」「～は申請許可制」などは社員の知的生産性の低下に直結しています。このように不便になってしまったセキュリティ対策の利便性を上げることで、知的生産性の向上が見込めます。

　私がアドバイザーを務めているある会社では、営業マンのノートPC持ち出しは禁止となっていましたが、セキュリティ対策を施したうえで持ち出し可能にしたら営業マンの士気も上がり、顧客対応も格段に向上しました。

　これまで、ノートPCが持ち出し禁止ですから顧客への対応メールのためにできるだけ営業マンは社内にいるようになっていたのです。しかも自宅での作業もできないですから、落ち着いて提案書を作成することもできなかったのです。明日の提案書を家で作成する、ということを昔は普通にやっていたものです。

　この場合のコスト削減効果は絶大で、営業マンの外出率が向上し売り上げまで増えるようになったのです。顧客満足度も向上しました。セキュリティシステムに要したコストは十分に改修できました。

　このような攻めのセキュリティ対策は自身では判断することができず、ついつい安易な禁止を選択してしまいがちです。ところが専門家に相談しようとしても、自社の商品を売り込まれたりしてうまく信頼関係が築けていないことが多く「信頼できる専門家」を見つけることがキーポイントとなっています。

●クラウドコンピューティング：新技術、そして相手を信じよ

　クラウドコンピューティングはいま最も話題になっているソリューションであり、まだまだ未完成の分野です。しかしながら、コスト削減効果から見ると非常に魅力的です。分かりやすい考え方としては、セキュリティを相手に預けて信じる、ということです。

　クラウドコンピューティングのセキュリティについてここで多くを説明することはしませんが、ある程度のリスクの許容が必要になることは間違いありません。

　クラウドコンピューティングというとそのセキュリティ問題が議論されますが、一般的に社内システムからの情報漏えいはサーバからではなくクライアントからである場合が圧倒的に多いことを考えると、クライアント対策、すなわちエンドポイントにおけるセキュリティ対策は相変わらず残っているのです。

　しかしながら、メールなどを手掛かりに、基幹システムに至るまでクラウド化されるのは時間の問題でしょう。その過程でさまざまな問題や事件が起こるかもしれませんが、それは想定内ということで世の中は進んでいるのです。いまは何よりも企業は生き残りの勝負をなりふり構わずしているのですから、このタイミングでクラウドが登場したのは、大きな時代の転換点であることは間違いありません。

　いまは正社員がリストラの対象になっている時代ですから、自分の首を守るためならサーバを差し出す、なんてこともあるかもしれませんね。