情報セキュリティ対策にかけるコスト水準を決めるには？

 

情報セキュリティ対策にかかる様々なコスト

 

 

情報セキユリテイ対策には、各種のセキュリティ対策を実行すると相応の費用が発生します。

 

情報セキュリティの強化対策に要するコストのことを忘れてはいけません、強化することに関

 

心が集中してしまうことが多いからです。

 

情報セキュリティ対策のコストは、情報システムにかかるコストと同様に考えればよいので

 

す。

 

情報システムのコストには、例えば、下記に示すようなものがあります。

 

このうち情報セキュリティに関連するコストを情報セキュリティ対策コストとして把握しま

 

す。

 

システムコスト項目(例）

 

ソフトウェア

・アプリケーションソフト
・ミドルウェア
・保守費（バージョンアップ、パッチ当て等）など

八ードウェア

・サーバ、パソコン、その他機器
・電磁媒体（バックアップなど）
・保守費（故障対応、定期点検等）など

ネットワーク

・通信回線
　　・LAN(有線、無線）
　　・通信機器など

要員

・開発要員
　　・運用要員（ヘルプデスクを含む）
　　・保守要員など

ファシリティ

・データセンター
　　・サーバ室
　　・通信機器室
　　・空調設備
　　・電源設備
　　・入退室管理システム、監視カメラ、センサーなど

その他

      ・入出力業務
　　・教育・研修費など

 

 

把握するのが難しい情報セキュリティ対策コスト

 

とはいえ、簡単なようで、実はかなり難しい情報システムのコストの中から情報セキュリティ

 

対策コストを把握することです。

 

例えば、サーバの冗長化部分であるバックアップ．サーバやハードディスクのミラーリングな

 

どはサーバのコストで情報セキュリティ対策コストになります。

 

また、システム障害対応の作業と、通常の運用・監視業務に関係する作業についてもシステム

 

運用要員を区分することが必要になります。

 

原価計算の手法（原価配賦）が1つのコスト項目を複数に区分するためには必要です。

 

作業時間を作業項目別に把握し、集計してた後に、情報システムの運用コストと、情報セキュ

 

リティ対策コストに配賦します。

 

例えば、自動車を購入したときに、区分して把握するためにエアバッグやABSのコストは、セ

 

キュリティ対策コストとして区分して把握するようなイメージです。

 

例のように、理論的には情報セキュリティ対策コストを把握することは可能です。

 

しかし、コスト分析に関わる費用対効果を勘案するには、どの程度詳細に把握するかによって

 

行なう必要があります。

 

 

コストの妥当性を考えて、情報セキュリティ対策の運用を考える

 

運用を継続していくためにはコストがかかるのが、情報セキュリティ対策の運用であることを

 

忘れてはなりません。

 

機器の保守費用には、ファイアウオール、IPS、IDSなどの機器の費用が必要になりますし、

 

また、安定稼働しているかどうかの機器監視をする業務の経費も必要になります。

 

そして、セキュリテイ対策ソフトのバージョンアップなどの保守費や、ウイルス対策ソフトを

 

はじめ、データセンターをオンプレミスで設置・運用していく

 

ためには、侵入監視装置、入退管理システムの運用・保守などの費用もかかります。

 

運用・保守コストは、このように情報セキュリティ対策の運用を維持していくためには、要に

 

なりますので、その運用・保守コストの妥当性を考えて情報セキュリティ対策を講じてゆかな

 

ければなりません。

 

 

対策をどの程度行えばいいかの基準となる情報セキュリティ対策コストの水準

 

どの程度コストをかければよいのか情報セキュリティについて、質問されることが少なくあり

 

ません。

 

コストを決定するためには、企業が抱えているリスクを評価して、情報セキュリティ対策の費

 

用対効果を分析して決定します。

 

とはいえ、ITコストをどの程度かければよいのか悩む企業などが多いと思います

 

ITコストの中で計上されるセキュリティ対策コストをどうすればよいのか難しい問題だと言え

 

ます。

 

その場合には、視点を変えて、どの程度の情報セキュリティ対策を実施すればよいのかを考え

 

るとよいです。

 

情報セキュリティ対策の水準については、独立行政法人情報処理推進機構(IPA)がおこなって

 

いる「情報セキュリティ対策ベンチマーク」を利用するのもよいでしょう。

 

また、IPAは情報セキュリティ対策のベンチマークについて「組織の情報セキュリティ対策の

 

取組状況（27項目）と企業プロフィール(19項目）

 

を回答することにより、他社と比較して、セキュリティ対策の取組状況がどのレベルに位置し

 

ているかを確認できる自己診断システムです。

 

診断時の回答項目は、ISMS認証基準(JISQ27001:2006)附属書Aの管理策をベースに作成して

 

おり、ISMS適合性評価制度を用いるよりも簡便に自己評価することが可能です」と説明があ

 

ります。

 

(http://www.ipa.go.jp/security/benchmark/benchmark_20161027.html)。

 

投資額や運用コストが多額なものについては、簡易な方法でもよいのでセキュリティ対策コス

 

トの把握が難しいとは思いますが、それらのコストをあらかじめ試算するのが望ましいので

 

す。

 

 

まとめ

 

セキュリティに投資を考えてみると、「攻撃を受けサーバがダウンしてシステムが停止する」

 

や「情報漏えいが発生する」といった技術的な問題でセキュリティに投資しないことによる直

 

接的な結果ではなく、「情報漏えいの事後対策に人員が必要だったり、本来の業務が遅延す

 

る」、「今年度の決算で特別損失を計上する必要がある」

 

といった事業そのものに対する影響度に注目することが重要です。

 

それを考慮した上で、事業に対する影響度が低いなら優先度を下げ、投資しないという判断を

 

すればよいことになります。

 

投資しないという判断をした場合は、すなわち、サイバーセキュリティに関するリスクを取る

 

ことを意味します、しかし「投資しない」という判断をすることは、リスクを取ることになる

 

ため責任が伴います。

 

この決定には最終的には、経営者の意思決定に委ねられるということになります。

 

実際は、サイバーセキュリティに関するインシデンが発生し被害が出た場合は、

 

直接的な損害が出るだけでなく事業の成長戦略を大きく阻害・減速させる要因となります。

 

そのため、それを低減・最適化することは、より安定した事業の持続的な成長を下支えすると

 

いう意味で、事業戦略上重要な「投資」の一部分であると考えるてゆくことが必要です。