IT予算が限られる中、セキュリティ対策においてもコストカットが叫ばれている。一定レベルの安全性を確保しつつ、ムダのない取り組みをするにはどうしたらよいのか。コスト削減に向けた4つの方策を探ってみよう。
金融危機の真っ只中において、私が身を置いている情報セキュリティ業界も、行き先が不透明だ。経営が厳しくなった会社が経費削減に取り組む場合、情報セキュリティは例外なくその優先順位の高い部類に入るからである。
「情報セキュリティは企業にとって欠かせないもの」と我々は言い続けてきた。なのに、なぜ1番に予算削減の対象になるのだろうか? 一言で言えば、「予算を少々削ったところで、どうなるもんでもないだろう」と経営者が考えていることの裏返しとも受け取れる。こうした考え方の善し悪しは別として、この現実は受け入れざるを得ない。
私は現在、情報セキュリティに関する独立したコンサルタントとして活動しており、いろいろな業界の企業から様々な相談を受ける。大抵の場合、相手は企業の「情報セキュリティ対策推進責任者」であり、次々と出てくるリスクへの対策と、なかなか減らないコストとの狭間に立たされて悩む人々だ。ここのところ相談を受けた内容からは、いくつかの傾向が見て取れる。まずは典型的なものをいくつかを紹介しよう。
相談1
新年度に何をやればいいか分からない
これからどうしたらいいか分からない、という声は本当によく寄せられる。もっとも、その事情は会社によって異なるようだ。
ある会社は、既に多くの対策に取り組んだ結果として情報漏洩の心配は減ったものの、これ以上何をすれば投資に見合う効果が上がるのかと悩む。また別の会社は、いろいろな対策に取り組んでいるものの大小様々な事故が起こると打ち明けてくる。どちらも担当者は困っているのだ。対策効果が出過ぎると、別途必要性を感じている対策の予算は確保しにくくなる。一方で、これまで予算を使ってきたのに効果がないと、これまた予算削減の対象にされてしまう。
これらは全く違う悩みのようであるが、実は共通していることがある。それは「マネジメント対策にコストがかかり過ぎている」ということだ。ここで言うマネジメント対策とは、人間が守るべきルールを多く策定して、それを教育や啓蒙で周知徹底を図るものを指す。
人間は、基本的に「忘れる」「だんだん守らなくなる」という性質を持っているために、大きな会社になるほど膨大なコストがかかることになる。そのコストとは、多くは「守らされる側の労働時間」であり、「情報セキュリティ対策推進室のコスト」や「セキュリティ機器購入費用」ではない(図2-1)。
1つのルールを作ると、それを周知徹底させるために、メールでの通知、社員を集めての説明会とその調整、セキュリティ認知度チェック、抜き打ち監査など膨大な作業が発生する。気が付くと情報セキュリティ推進本部は日々の漏えい事案の対処と情報セキュリティ庶務に忙殺されている、というケースも少なくない。実際、前述の両社は「現在とても忙しい」と言うのだ。
相談2
予算が削られて途方に暮れている
「予算が削られた」─この話も良く聞くようになった。会社の業績が悪いからコストは一律○%カット、とする企業が少なくない。特に削減の対象になりやすいのが「情報セキュリティ推進メンバーの人件費」や「各種情報セキュリティ製品やサービス」といった直接的なものに矛先が向く。
ところが既に述べたように、最大のコストは「情報セキュリティを守らされている社員の労働時間」だ。従って、情報セキュリティ推進室としては従業員の情報セキュリティに関わる時間を年間で数時間でもいいからカットする工夫を凝らし、全体として大きな削減効果を得る知恵を絞らなければならない。
今どきの賢いセキュリティ対策の基本的な考え方は、「作業の効率化に結び付く管理システムへ投資しつつ、効率化によるコスト削減を目指す」ことにある(図2-2)。単純に何かを削るという“その場しのぎ”の対策は、継続的なコスト削減にならないばかりか、セキュリティの強度を保てなくなることも多いということを頭に入れる必要がある。
先進的で意識の高い企業では社員に対する情報セキュリティの教育用にeラーニングの採用などを進めているが、一般にはまだ普及しているとは言えない。さらには、セキュリティに関する設定やソフトウェアの導入を一括して管理できるシステムを導入しているところは非常に少ないのが現状だ。人手に頼っていた管理業務を自動化・合理化できるツールは、真っ先に導入を検討すべき案件となる。
●Next:コスト削減要求の中、どのように企業のセキュリティを担保する?
会員登録(無料)が必要です
- 1
- 2
- 次へ >
