情報セキュリティは情報システムコストを削ってから？：セキュリティ、そろそろ本音で語らないか（6）（1/3 ページ）

コスト削減にたちはだかる大きな壁

　2008年ごろから情報セキュリティのコスト削減をテーマに取り組んできましたが、ここにきて大きな壁があることに気が付きました。それは情報セキュリティコストが情報システムコストの一部としてとらえられていることです。

　本来、情報セキュリティは情報システムの一部ではありません。情報セキュリティは「情報管理」というすべての業務に薄く広く網羅的にかけられるものであり、これには従業員への教育や協力会社の情報管理など、システム的な対策も含まれます。しかしながら、日本においては情報システム部長が「CISO」を兼任することが多く、そのため情報セキュリティコストは情報システム全体の中で考えられています。

　そこで今回は情報システムの“コスト”について注目したいと思います。

納得していますか？ 運用コストの算出方法

　私の知人や取引先に聞いてみたところ、開発や設備投資などの新規投資コストと、既存システムの運用コストを比較すると、3対7から4対6くらいが多いようでした。極端なところでは1対9の比率にまで運用コストが膨らんでいるところもありました。

　では、情報セキュリティのコストはどれくらいの割合か、と聞いてみると、コスト全体の3〜5％程度が最も多い回答でした。これは情報セキュリティ対策におけるシステム的なコストのみですが、とても少ないように思いませんか？

　一昔前のセキュリティ関連のセミナーなどでは「30〜40％はかけるべきである」といわれることも多かった情報セキュリティコストですが、現実的にはシステムへの投資がほとんど行われていないことが分かってきました。さらに悪いことに、システム的な情報セキュリティ対策に取り組もうとしても、情報システム部門が多忙、かつ予算削減の波で、新しい稟議（りんぎ）は通りにくいのが現状です。

　情報システム全体のコスト削減を行いつつ、情報セキュリティへ投資をすべきですが、大きな壁は既存システムの運用コストです。新規のシステム開発を行ったあと、あるいは新しい通信機器、サーバなどを購入すれば、保守運用コストが必ずかかります。一般的には購入コストの15〜25％程度が保守運用にかかります。

　この保守運用コストが積み上げられて、情報システム予算が圧迫されています。そして、これらはすでに結ばれている契約に基づくコストなので、いまさらどうしようもありません。これはつまりシステムインテグレータの利益構造ともいえます。彼らの収益も大半は運用によるものなのです。

　システムインテグレータは開発で赤字を出し、運用で取り返すということをしてきました。その結果、運用コストが膨らみ続けていったのです。ではなぜ開発が赤字なのでしょうか。ひと言でいってしまえば、これはユーザーの責任といえます。

　ユーザーに力がないからなのか、ユーザーを骨抜きにしたからなのか……どちらが先かは分かりません。ユーザーは仕様をあいまいにしか表現せず、システムインテグレータはそれをあいまいなまま開発に持ち込み、仕様変更を多発させ厳しい納期の中でバグが生まれ、納品後も仕様変更とバグの対応に追われるので運用コストを高くせざるを得ない事情があります。

　ユーザーは調達時にも安い方を選ぶのですが、複数年にわたる保守運用コストまでも考慮した調達はあまり行われません。そもそも調達時点の仕様もあいまいで「あとで何とかなるさ」という暗黙の了解のもとで調達、開発が進んでいきます。

　また、開発や構築の時点では細かく見積もりを取り、出てくる金額をきっちりと精査しますが、保守費用は全体の一定割合という算出方法を受け入れています。システムインテグレータの収益構造から考えても、保守運用にかかる負担コストは少ないはずです。保守費用は実際にかかっているコストから算出した金額ではないため、金額に見合ったサービスは受けられていないかもしれません。

　しかしながら、システムインテグレータは大もうけしているか、といえばそうでもなく、どこも厳しい状況です。ユーザーも厳しいしシステムインテグレータも厳しいという、誰もハッピーになっていない構造です。

「セキュリティ、そろそろ本音で語らないか」連載目次