コストではなく投資? 情報セキュリティ対策における費用の考え方

コストではなく投資? 情報セキュリティ対策における費用の考え方

情報化が加速する現在では、情報セキュリティ対策は重要な経営課題だと言えます。情報をしっかりと守り管理している企業は、そのことによって顧客や取引先からの信頼を勝ち得て、競合他社に対するアドバンテージを持つことになります。企業のセキュリティ対策における費用の考え方について解説していきます。

企業にとってセキュリティ対策は重要な経営課題

企業経営において情報はヒト、モノ、カネと並んで重要な経営資源の一つと言われています。セキュリティ対策はその情報を守り、悪用されるなどして損害を受けないためのリスクマネジメントです。

一例として顧客データなどの個人情報について考えてみましょう。システムに侵入されるなどして保有する個人情報が漏えいすれば、営業活動の停滞や中断、顧客からのクレーム対策、その情報を利用されて顧客を奪われるなどの直接的なダメージを受ける可能性があります。それだけでなく、顧客からの賠償や訴訟などの問題へと発展し、ブランドイメージの低下、企業としての信用失墜など間接的ダメージが連鎖的に起こることも十分にありえます。

重要な情報の漏えいや流出は、最終的に大きな経済的損失へとつながる危険性をはらんでいます。

情報をいかに効率的に収集して活用するかは企業戦略の根幹にかかわるテーマですが、その情報をどのように安全に管理するのかということも決しておろそかにできない問題です。セキュリティ対策は企業にとって、情報の戦略的活用とセットに捉えるべき重要な経営課題の一つです。

巧妙化するサイバー攻撃の脅威

ITの利活用が進む中、企業の保有データを狙うサイバー攻撃の方法も巧妙化しています。

インターネットや社内ネットワークが複雑に連携・連結しながら張り巡らされている現在では、なりすまし、ウイルス、マルウェアといった方法でデータが漏えい、改ざん、破壊されてしまうリスクにさらされ続けています。ネットワークを通じた攻撃以外にも、ソーシャルエンジニアリングと呼ばれる覗き見(ショルダーハッキング)や行動のミスにつけ込んでIDやパスワードを不正に入手する方法や盗聴などにも注意を払う必要があります。オフィスへの物理的な侵入、あるいは内部犯罪の存在なども見逃すことはできません。

現在では情報を取り扱っている社員が気づかないまま攻撃を受け、ときには自ら被害を広げる手助けをしてしまうケースも頻繁に発生しています。マルウェアに感染したメールをそうとは知らずに送信すれば、顧客や取引先企業のネットワークにまで感染が広がる危険性があります。現に、社内で使っているパソコンが踏み台にされて、他者への攻撃や犯罪のための中継役として利用されていたという事例もあります。

そのためセキュリティ対策を本当に効果あるものにするには、対症療法ではない抜本的な対策、厳格な管理システムの構築が不可欠となります。

コストではなく投資!セキュリティ対策費用の考え方

情報セキュリティ事故によって業務が停止すれば売上は減少します。被害を広げないための対策費用も必要となり、迷惑をかけた方への見舞金、ときには賠償金を支払わなくてはならなくなることもあります。風評の悪化によって株価が下落することも考えられます。

これらの経済的損失を予測するなら、セキュリティ対策費用を単なるコストと捉えるのは危険だということがわかります。やむを得ず捻出するコストと考えると、どうしてもできるだけ削減するという方向に思考が進んでしまうためです。

そうではなく、セキュリティ対策費用は将来の利益を守るための投資と捉えるべきでしょう。情報を完全に管理すればそのことが企業の信用向上につながります。消費者や顧客、取引先からの信頼は企業の成長につながる財産となるでしょう。情報の取り扱いが厳格化され安全性が保たれれば、社内のモラルや士気も高まります。

セキュリティ投資の進め方

十分なセキュリティ対策を講じるには、通常業務を行っている従業員が個別に安全対策を実施するだけでは不十分です。

多くの場合、最善のセキュリティ投資は、専門知識を持つセキュリティ人材の採用または登用して対策チームを作る、もしくは専門ベンダーの活用を視野に入れることになるでしょう。まず現在の社内のセキュリティ状況を分析し、必要な対策を明確にしてリスト化し、どのようにして効率的な管理・防御システムを作り上げていくかを考えなくてはならないからです。

そのためにはセキュリティ対策の責任者を決めるところから始めるのが一般的です。その人物が専門知識を持っていることも大切ですが、より強く求められるのは専門家の意見を聞きながら対策プランをまとめ、進行させていくようなスキルと志向です。またセキュリティ対策用のソフトウェアやハードウェアへの投資と同時に、従業員に対するセキュリティ教育や研修の実施も必要になるでしょう。

セキュリティ対策は企業にとって将来の利益を確保するために必要な経営課題です。そのための費用は仕方なく支払うコストではなく、戦略的な先行投資と捉えてみてください。その上で積極的にセキュリティ対策に取り組むことをおすすめします。