連載
» 2017年11月21日 10時00分 公開

セキュリティ強化塾:セキュリティ対策費を確保するならリスクベースで語れ (1/4)

「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。

[キーマンズネット]

 「ITセキュリティに対しての投資を行わない」という企業は、ほぼ存在しない。常にサイバー攻撃は企業を狙っており、もはや「侵入されていない企業はない」とまでいわれるほどだ。だが、「どのように投資すべきか」という入り口で間違えてはいないだろうか。

投資額を増やせばITセキュリティ対策は万全、ではない

 規模の大小はあるが、企業における情報漏えい事件が後を絶たない。また、ランサムウェアなどを使ったサイバー攻撃の被害も多く報告されている。このような現実を踏まえ、多くの企業はITセキュリティを「戦略的投資」と考えはじめている。

 情報処理推進機構(IPA)が発表した「2016年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、ITセキュリティに対する投資額は業種を問わず、ある程度の金額が積まれていることが分かる。

業種別のセキュリティ対策投資額 図1 業種別のセキュリティ対策投資額(出典:IPA「2016年度中小企業における情報セキュリティ対策に関する実態調査」)

 この多くは「100万円未満」だ。しかし、「投資額を増やせばITセキュリティ対策は万全だ」という考え方は間違っている。どんなに投資したとしても間違った方向に進んでいれば、何もしていないことと変わらない。むしろ誤った投資が作り出す空虚な安心感こそが、ITセキュリティで大きな隙を作る要因となってしまう。

 この「投資に対する考え方」について、米マカフィーのチーフ テクニカル ストラテジストであるキャンディス・ウォーリー氏が興味深い考察を加えている。2017年10月に米ラスベガスで開催された同社主催イベント「MPOWER」の講演から、セキュリティ投資の戦略について紹介しよう。その入り口は、ボードゲームにあるという。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。