コストから投資へ！情報漏えい対策セキュリティの考え方

情報漏えい事件が後を絶ちません。万全なソリューションと教育を施しているはずなのに、どうしても個人情報が漏えいしてしまいます。では、このセキュリティにいくらコストを注ぎ込めばよいのでしょうか。経営陣の判断も、現場の対応も難しい状況です。最近では「セキュリティはコストではなく投資である」という考え方が広まっています。ここでは、この考え方にフォーカスしてみました。

後を絶たないセキュリティ事件

近年、情報漏えい事件が大きく報道され続けています。2015年6月日本年金機構から100万件を越える個人情報が外部に流出しました。担当者が解凍した添付ファイルにマルウェアが入っていたのです。出典元-日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告について」http://www.nenkin.go.jp/oshirase/topics/2015/20150721.files/press0820.pdf

2014年には2000万件を超える個人情報が学習塾関連企業から漏えいしました。これは派遣社員の不正によるもので「内部犯行では防ぎようがない」という声も聞かれるようになりました。これほど大規模ではないレベルの漏えい事件は後を絶たず、発覚していない巧妙な盗み出しも存在するに違いありません。出典元-株式会社ベネッセホールディングス「事故の概要」http://www.benesse.co.jp/customer/bcinfo/01.html

こうした背景には個人情報のブラックマーケットの存在があります。かつて個人情報は電話帳として無料で配布されていたものです。当時は、価値が高いものという認識はありませんでした。しかし、今では電子化することで、持ち運びが容易になると同時に、用途も一気に拡大し、大きな価値を持つに至っています。そのため、常に新たな攻撃が繰り返され、企業はモグラ叩きのように対策を講じなければならなくなっているのです。

費用対効果（ROI）を計算できるのか？

セキュリティ対策において、経営者から必ず問い返されるのが「費用対効果はあっているのか」という言葉です。経営する側から見ると、セキュリティ対策コストは後ろ向きなものに見えます。そのような余剰なコストがあるのなら、設備に投資したいし、株主に還元したい、社員の給料も増やしたいと考えるのが当然です。

ここでセキュリティ担当者は、そのコストの必要性・妥当性を求められます。事故が発生した場合の状況から考えると、以下のコストがかかることがわかります。

■対策究明費用: 社内あるいは専門家に依頼して、事故発生に至った原因と対策を考えます。
■発表・広報費用: 事件を起こしたことをマス媒体を通じて発表し、今後の対策を関係者に連絡します。
■損害賠償: 情報漏えいした本人に慰謝料を支払います。
10年以上前の話になりますが、2001（平成13）年、関西のある市役所から、住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主との続柄等の情報が流出した事件では、1件あたり1万5,000円の支払いの判決が大阪高裁から出されています。エステ情報など、プライバシー情報が流出した場合は3万円、氏名と住所だけの流出では数百円などの判例もあります。ただし、数百円とはいえ、流出件数によっては、郵送代と封入手作業のコストまで考えると非常に大きな金額に膨れあがります。出典元-裁判所「宇治市住民基本台帳データ大量漏洩事件控訴審判決」http://www.courts.go.jp/app/files/hanrei_jp/340/002340_hanrei.pdf
■新規対策費用: 情報を流出した企業は、担当者を増やしたり、セキュリティシステムを導入するなどの対策が新たに必要となります。このほか、一般的なセキュリティ費用の計算法として、JRAM、CRAMM、ALE手法が知られています。

コストから投資へ「コストをかけないからの脱却」

いくつかコストの計算方法はあるものの、セキュリティにおいて重要となるのが対策にかかる費用の考え方です。コストと考えるから「1円でも安い方法」と考えてしまいます。それが「発覚しても見ない振りをしよう」「穏便に済ませたい」という次の行動に移ります。これでは世間が許さず、報道されてしまい、トップが平謝りで原因や対応を発表することになってしまいます。

後ろ向きに考えていることに根本的な理由があるのです。これに対し、2010年ごろから「セキュリティは『コスト』ではない『投資』である」との考え方が提案され、注目されています。事業継続性を確保し、企業経営の健全な発展のために前向きに「セキュリティに投資」していく考え方です。

いかがでしょう。改めて「投資」としてセキュリティをもう一度考え直してみませんか。

セキュリティシステム人気ランキング | 今週のランキング第1位は？

ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトです。累計訪問者数2,000万人以上、3,750製品以上を掲載しています。ITトレンド編集部では、読者がIT製品・サービスを比較検討する際に役立つ情報や、システムを活用した社内の課題解決のヒントになる情報を記事にして日々発信しています。

このカテゴリーに関連する記事

情報セキュリティシステムとは？種類や予防できるリスクを解説

セキュリティシステムのおすすめ比較！初めてでもしっかり対策できる

エンドポイントセキュリティで社内の重要情報を保護する方法！

セキュリティポリシーの策定で危機を防ぐには？

【セキュリティシステム】クラウド版の必要性とは？特徴や選び方を徹底解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「コストから投資へ！情報漏えい対策セキュリティの考え方」というテーマについて解説しています。セキュリティシステムの製品導入を検討をしている企業様は、ぜひ参考にしてください。

このページの内容をシェアする

カテゴリー資料請求ランキング

11月18日(月) 更新
	Verkada クラウド管理型物理セキュリティ・プラットフォーム Verkada Japan 株式会社
4位以下のランキングはこちら