検索
連載

情報セキュリティは情報システムコストを削ってから?セキュリティ、そろそろ本音で語らないか(6)(1/3 ページ)

情報セキュリティの重要性は誰もが知るところでしょう。では、それを実現するためのコストはどこから工面すべきなのでしょうか(編集部)

Share
Tweet
LINE
Hatena

コスト削減にたちはだかる大きな壁

 2008年ごろから情報セキュリティのコスト削減をテーマに取り組んできましたが、ここにきて大きな壁があることに気が付きました。それは情報セキュリティコストが情報システムコストの一部としてとらえられていることです。

 本来、情報セキュリティは情報システムの一部ではありません。情報セキュリティは「情報管理」というすべての業務に薄く広く網羅的にかけられるものであり、これには従業員への教育や協力会社の情報管理など、システム的な対策も含まれます。しかしながら、日本においては情報システム部長が「CISO」を兼任することが多く、そのため情報セキュリティコストは情報システム全体の中で考えられています。

 そこで今回は情報システムの“コスト”について注目したいと思います。

納得していますか? 運用コストの算出方法

 私の知人や取引先に聞いてみたところ、開発や設備投資などの新規投資コストと、既存システムの運用コストを比較すると、3対7から4対6くらいが多いようでした。極端なところでは1対9の比率にまで運用コストが膨らんでいるところもありました。

 では、情報セキュリティのコストはどれくらいの割合か、と聞いてみると、コスト全体の3〜5%程度が最も多い回答でした。これは情報セキュリティ対策におけるシステム的なコストのみですが、とても少ないように思いませんか?

 一昔前のセキュリティ関連のセミナーなどでは「30〜40%はかけるべきである」といわれることも多かった情報セキュリティコストですが、現実的にはシステムへの投資がほとんど行われていないことが分かってきました。さらに悪いことに、システム的な情報セキュリティ対策に取り組もうとしても、情報システム部門が多忙、かつ予算削減の波で、新しい稟議(りんぎ)は通りにくいのが現状です。

 情報システム全体のコスト削減を行いつつ、情報セキュリティへ投資をすべきですが、大きな壁は既存システムの運用コストです。新規のシステム開発を行ったあと、あるいは新しい通信機器、サーバなどを購入すれば、保守運用コストが必ずかかります。一般的には購入コストの15〜25%程度が保守運用にかかります。

 この保守運用コストが積み上げられて、情報システム予算が圧迫されています。そして、これらはすでに結ばれている契約に基づくコストなので、いまさらどうしようもありません。これはつまりシステムインテグレータの利益構造ともいえます。彼らの収益も大半は運用によるものなのです。

 システムインテグレータは開発で赤字を出し、運用で取り返すということをしてきました。その結果、運用コストが膨らみ続けていったのです。ではなぜ開発が赤字なのでしょうか。ひと言でいってしまえば、これはユーザーの責任といえます。

 ユーザーに力がないからなのか、ユーザーを骨抜きにしたからなのか……どちらが先かは分かりません。ユーザーは仕様をあいまいにしか表現せず、システムインテグレータはそれをあいまいなまま開発に持ち込み、仕様変更を多発させ厳しい納期の中でバグが生まれ、納品後も仕様変更とバグの対応に追われるので運用コストを高くせざるを得ない事情があります。

 ユーザーは調達時にも安い方を選ぶのですが、複数年にわたる保守運用コストまでも考慮した調達はあまり行われません。そもそも調達時点の仕様もあいまいで「あとで何とかなるさ」という暗黙の了解のもとで調達、開発が進んでいきます。

 また、開発や構築の時点では細かく見積もりを取り、出てくる金額をきっちりと精査しますが、保守費用は全体の一定割合という算出方法を受け入れています。システムインテグレータの収益構造から考えても、保守運用にかかる負担コストは少ないはずです。保守費用は実際にかかっているコストから算出した金額ではないため、金額に見合ったサービスは受けられていないかもしれません。

 しかしながら、システムインテグレータは大もうけしているか、といえばそうでもなく、どこも厳しい状況です。ユーザーも厳しいしシステムインテグレータも厳しいという、誰もハッピーになっていない構造です。

Index

情報セキュリティは情報システムコストを削ってから?

Page1
コスト削減にたちはだかる大きな壁
納得していますか? 運用コストの算出方法

Page2
最初にすべきことは「きっちりとした仕様策定」
あいまいな仕様作成のツケ

Page3
情報セキュリティを言い訳にしていませんか


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  3. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  4. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  5. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  6. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  7. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. 「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
ページトップに戻る