ガートナー ジャパン株式会社 (本社:東京都港区、以下 ガートナー) は、セキュリティ投資に関する13の「よくある質問」を発表しました。
サイバー空間における脅威が高まり、セキュリティ・インシデントがビジネスに甚大な影響を及ぼすようになっています。企業にとって、今やセキュリティは経営上の最重要課題の1つです。セキュリティ関連の支出をどう捉え、誰の判断で、どの程度行うべきか。これは、企業がセキュリティ対策を検討する際にまず前段階として議論すべき内容です。しかしながら、多くの企業においては、十分な議論がなされないまま、場当たり的な対応が続けられています。
実際に、セキュリティに関連する支出の正当化に苦慮している企業は多く、考え方や手法に関する問い合わせがガートナーに多く寄せられています。よく聞かれる質問としては以下が挙げられます。
- 一般的な位置付けとして、セキュリティ関連の支出は「費用」か「投資」か
- セキュリティ関連支出を単なる削減対象の支出項目として見なしてよいのか
- 経営陣やビジネス・リーダーとの対話において使用する言葉としては、「投資」がよいか「費用」がよいか
- セキュリティ投資はどの程度必要か
- 「IT予算に占めるセキュリティの割合」はどのくらいか
- . 「IT予算に占めるセキュリティの割合」について、調査結果をどう活用すればよいか
- 「IT予算に占めるセキュリティの割合」について、海外の動向はどうか
- 「IT予算に占めるセキュリティの割合」以外に、有効な判断材料はないか
- セキュリティ対策および投資の「松竹梅」の分類とはどのようなものか
- セキュリティ投資を判断するには、いつ、どのような判断材料を使うべきか
- .投資対効果 (ROI) や被害額算定の有効性や活用方法とは
- 経営者とのコミュニケ―ション/報告は、どのような形式で行うべきか
- 取締役会におけるプレゼンテーションは、どのように実施すべきか
CIOおよび最高情報セキュリティ責任者 (CISO) が理解すべきセキュリティ投資について、上記の中から1と5を取り上げ、以下に解説します。
一般的な位置付けとして、セキュリティ関連の支出は「費用」か「投資」か
その時々の状況や支出の内容によって異なりますが、デジタル・ビジネスの取り組みにおいて、セキュリティはビジネスの根幹を支える必須のものとなっており、「投資」として考えるべきです。
ガートナーは、IT投資を「変革 (Transform)」「成長 (Grow)」「運営 (Run)」の3つに分類する「TGR」モデルを提唱しています (図1参照)。セキュリティ支出は、未知のビジネスモデルを創出するための支出とも異なり、ROIの測定が不可能なことも多いため、一般的には「運営」に分類されます。しかしながら、デジタル・ビジネスの取り組みにおいては、企画/設計などの早い段階から、セキュリティを組み込む「セキュリティ・バイ・デザイン (Security by Design)」や、プライバシー評価を行う「プライバシー・バイ・デザイン (Privacy by Design)」が必須の考え方になっています。セキュリティ関連支出は「変革」あるいは「成長」を実現するための1つの要素として、欠かせないものになっているといえます。