セキュリティに関連する支出の正当化に苦慮している企業は多く、考え方や手法に関する問い合わせがガートナーに多く寄せられているという。今回、セキュリティに関してよく聞かれる質問としてはあげられたのは次の13になる。
セキュリティに関してよく聞かれる13の質問
- 一般的な位置付けとして、セキュリティ関連の支出は「費用」か「投資」か
- セキュリティ関連支出を単なる削減対象の支出項目として見なしてよいのか
- 経営陣やビジネス・リーダーとの対話において使用する言葉としては、「投資」がよいか「費用」がよいか
- セキュリティ投資はどの程度必要か
- 「IT予算に占めるセキュリティの割合」はどのくらいか
- 「IT予算に占めるセキュリティの割合」について、調査結果をどう活用すればよいか
- 「IT予算に占めるセキュリティの割合」について、海外の動向はどうか
- 「IT予算に占めるセキュリティの割合」以外に、有効な判断材料はないか
- セキュリティ対策および投資の「松竹梅」の分類とはどのようなものか
- セキュリティ投資を判断するには、いつ、どのような判断材料を使うべきか
- 投資対効果(ROI)や被害額算定の有効性や活用方法とは
- 経営者とのコミュニケ―ション/報告は、どのような形式で行うべきか
- 取締役会におけるプレゼンテーションは、どのように実施すべきか
発表では、CIOおよび最高情報セキュリティ責任者(CISO)が理解すべきセキュリティ投資について、上記の中から1と5を取り上げて解説している。
■一般的な位置付けとして、セキュリティ関連の支出は「費用」か「投資」か
その時々の状況や支出の内容によって異なるが、デジタル・ビジネスの取り組みにおいて、セキュリティはビジネスの根幹を支える必須のものとなっており、「投資」として考えるべきだ。
ガートナーは、IT投資を「変革(Transform)」「成長(Grow)」「運営(Run)」の3つに分類する「TGR」モデルを提唱している(図)。セキュリティ支出は、未知のビジネスモデルを創出するための支出とも異なり、ROIの測定が不可能なことも多いため、一般的には「運営」に分類される。
しかしながら、デジタル・ビジネスの取り組みにおいては、企画/設計などの早い段階から、セキュリティを組み込む「セキュリティ・バイ・デザイン(Security by Design)」や、プライバシー評価を行う「プライバシー・バイ・デザイン(Privacy by Design)」が必須の考え方になっている。
セキュリティ関連支出は「変革」あるいは「成長」を実現するための1つの要素として、欠かせないものになっているといえる。
ガートナーのIT投資分類モデルTGR:「変革(Transform)」「成長(Grow)」「運営(Run)」
(出典:ガートナー、2018年7月)
■「IT予算に占めるセキュリティの割合」はどのくらいか
ガートナーでは、国内のユーザー企業を対象にした調査においてIT予算に占めるセキュリティの割合を尋ねている。2016年以降2018年まで毎年、「3%以上5%未満」あるいは「5%以上7%未満」とした回答者の割合が最も高い結果となり、3~7%が平均的な割合であることが明らかになった。
ガートナー リサーチ&アドバイザリ部門 シニア ディレクター, アナリストの礒田優一氏は次のように述べている。
「CIOやCISOは、経営陣やビジネス・リーダーの理解度に合わせて議論ができるよう、ガートナーのIT投資分類モデルにおけるセキュリティの一般的な位置付けを理解するとともに、支出項目への理解を深める必要があります。セキュリティ関連の支出について議論する際には、単なるコスト削減対象領域と誤解されないように、費用やコストなどの言葉を避け、極力『投資』の意味合いでセキュリティを語ることが重要です。その上で、経営陣やビジネス・リーダーに対して、有効な判断材料を提供していくことが、CIOやCISOの非常に重要な仕事の1つになっています」。
ガートナーは、11月12~14日に「Gartner Symposium/ITxpo 2018」をグランドプリンスホテル新高輪 国際館パミール(港区高輪)で開催する。ガートナーのセッションでは、CIOをはじめとするITリーダーの最重要課題について、13の主要な領域におけるテクノロジ、戦略、リーダーシップに関する最新トレンドや最先端の知見、洞察を提供するという。
