Newsroom

プレスリリース

2018年11月5日

ガートナー、セキュリティ投資に関する13の「よくある質問」を発表 - セキュリティはマストの経営課題であり、継続的な投資戦略として取り組むべき

『Gartner Symposium/ITxpo 2018』(11月12~14日、港区高輪) において、ITとビジネス課題の解決に向けた最新トレンド・最先端の知見や今後の展望を発表

ガートナー ジャパン株式会社 (本社:東京都港区、以下 ガートナー) は、セキュリティ投資に関する13の「よくある質問」を発表しました。 

サイバー空間における脅威が高まり、セキュリティ・インシデントがビジネスに甚大な影響を及ぼすようになっています。企業にとって、今やセキュリティは経営上の最重要課題の1つです。セキュリティ関連の支出をどう捉え、誰の判断で、どの程度行うべきか。これは、企業がセキュリティ対策を検討する際にまず前段階として議論すべき内容です。しかしながら、多くの企業においては、十分な議論がなされないまま、場当たり的な対応が続けられています。 

実際に、セキュリティに関連する支出の正当化に苦慮している企業は多く、考え方や手法に関する問い合わせがガートナーに多く寄せられています。よく聞かれる質問としては以下が挙げられます。

  1. 一般的な位置付けとして、セキュリティ関連の支出は「費用」か「投資」か
  2. セキュリティ関連支出を単なる削減対象の支出項目として見なしてよいのか
  3. 経営陣やビジネス・リーダーとの対話において使用する言葉としては、「投資」がよいか「費用」がよいか 
  4. セキュリティ投資はどの程度必要か 
  5. 「IT予算に占めるセキュリティの割合」はどのくらいか 
  6. . 「IT予算に占めるセキュリティの割合」について、調査結果をどう活用すればよいか 
  7. 「IT予算に占めるセキュリティの割合」について、海外の動向はどうか
  8. 「IT予算に占めるセキュリティの割合」以外に、有効な判断材料はないか 
  9. セキュリティ対策および投資の「松竹梅」の分類とはどのようなものか 
  10. セキュリティ投資を判断するには、いつ、どのような判断材料を使うべきか
  11. .投資対効果 (ROI) や被害額算定の有効性や活用方法とは 
  12. 経営者とのコミュニケ―ション/報告は、どのような形式で行うべきか
  13. 取締役会におけるプレゼンテーションは、どのように実施すべきか 

CIOおよび最高情報セキュリティ責任者 (CISO) が理解すべきセキュリティ投資について、上記の中から1と5を取り上げ、以下に解説します。 

一般的な位置付けとして、セキュリティ関連の支出は「費用」か「投資」か

その時々の状況や支出の内容によって異なりますが、デジタル・ビジネスの取り組みにおいて、セキュリティはビジネスの根幹を支える必須のものとなっており、「投資」として考えるべきです。

ガートナーは、IT投資を「変革 (Transform)」「成長 (Grow)」「運営 (Run)」の3つに分類する「TGR」モデルを提唱しています (図1参照)。セキュリティ支出は、未知のビジネスモデルを創出するための支出とも異なり、ROIの測定が不可能なことも多いため、一般的には「運営」に分類されます。しかしながら、デジタル・ビジネスの取り組みにおいては、企画/設計などの早い段階から、セキュリティを組み込む「セキュリティ・バイ・デザイン (Security by Design)」や、プライバシー評価を行う「プライバシー・バイ・デザイン (Privacy by Design)」が必須の考え方になっています。セキュリティ関連支出は「変革」あるいは「成長」を実現するための1つの要素として、欠かせないものになっているといえます。

図1. ガートナーのIT投資分類モデルTGR:「変革 (Transform)」「成長 (Grow)」「運営 (Run)」 

IoT:モノのインターネット、AI:人工知能、BCP:ビジネス継続計画
出典:ガートナー (2018年7月)

「IT予算に占めるセキュリティの割合」はどのくらいか 

ガートナーでは、国内のユーザー企業を対象にした調査 (*) においてIT予算に占めるセキュリティの割合を尋ねています。2016年以降2018年まで毎年、「3%以上5%未満」あるいは「5%以上7%未満」とした回答者の割合が最も高い結果となり、3~7%が平均的な割合であることが明らかになりました。

ガートナー リサーチ&アドバイザリ部門 シニア ディレクター, アナリストの礒田 優一は次のように述べています。

「CIOやCISOは、経営陣やビジネス・リーダーの理解度に合わせて議論ができるよう、ガートナーのIT投資分類モデルにおけるセキュリティの一般的な位置付けを理解するとともに、支出項目への理解を深める必要があります。セキュリティ関連の支出について議論する際には、単なるコスト削減対象領域と誤解されないように、費用やコストなどの言葉を避け、極力『投資』の意味合いでセキュリティを語ることが重要です。その上で、経営陣やビジネス・リーダーに対して、有効な判断材料を提供していくことが、CIOやCISOの非常に重要な仕事の1つになっています」

(*) 本調査は、国内の従業員数500人以上の組織を対象としています。回答者は、ITインフラストラクチャ領域において、製品や ソリューション、サービスの導入の選定に際して決裁権がある/関与している、もしくはITインフラストラクチャの戦略に関与して いる役職を想定しています。2018年の調査は2018年2月に実施、有効回答数は515件でした。

ガートナーのサービスをご利用のお客様は、ガートナー・レポート「CIO/CISOが理解すべきセ キュリティ投資に関するFAQ:2018年」(INF-18-108、2018年7月20日付) で詳細をご覧いた だけます。 

『Gartner Symposium/ITxpo』について

ガートナーは来る11月12~14日、『Gartner Symposium/ITxpo 2018』をグランドプリンスホテル新高輪 国際館パミール (港区高輪) にて開催します。ガートナーのセッションでは、CIOをはじめとするITリーダーの最重要課題について、13の主要な領域におけるテクノロジ、戦略、リーダーシップに関する最新トレンドや最先端の知見、洞察を提供いたします。本プレスリリースに関連した内容は、前出の礒田がITxpo会場で行うオープンシアター・セッション「CIOが押さえておくべきセキュリティ投資のキーポイント」(12日 12:10~12:30、OT11) でも紹介します。その他のガートナーのセッションにおいても、セキュリティ、セキュリティ投資、IT投資などに関連する講演を予定しています。

本シンポジウムの詳細については下記Webサイトをご覧ください。 https://www.gartner.co.jp/symposium

本イベントのニュースと最新情報は、ガートナーのTwitter (https://twitter.com/Gartner_jp) でもご覧いただけます (#GartnerSYM)。

Gartnerについて

Gartner, Inc. (NYSE: IT) は、お客様のミッション・クリティカルな課題について、より優れた意思決定と大きな成果へと導く実行可能かつ客観的な知見を提供します。詳細については下記Webサイトでご覧いただけます。

gartner.com

gartner.co.jp (ガートナージャパン)

報道関係各位からのお問い合わせ先