米Gartnerによれば,企業の情報システム予算(IT予算)に占めるセキュリティ予算の割合は,3~7%が妥当だという。同社で情報セキュリティ分野の分析を担当するManaging Vice PresidentであるVictor S. Wheatman氏は「セキュリティへの投資を継続すれば,全IT予算に占めるセキュリティ予算の割合は,3%程度に落ち着くだろう」と語る。Wheatman氏に,企業ITにおけるセキュリティ投資の現状を聞いた。(聞き手は中田 敦=ITpro編集)
 |
| 米Gartnerの情報セキュリティ分野担当Managing Vice PresidentであるVictor S. Wheatman氏 [画像のクリックで拡大表示] |
「セキュリティ1.0」とは,メインフレーム時代のことです。当時はデータはすべてメインフレームに格納されていて,システム管理者はアクセス権限の管理だけしていれば,セキュリティを保護できました。
PCとインターネットの時代,つまり「セキュリティ2.0」になって,状況は大きく変わりました。皆が興奮してインターネットの導入を進めましたが,セキュリティのことは忘れていました。ですからシステムが導入された後になって,セキュリティの確保が必要になり,セキュリティ予算は高騰し,プロジェクトも長期化しました。
つまり今までは,ユーザーの行動を追いかけて,「あれをするな」「これは禁止だ」と言うことがセキュリティ対策でした。「セキュリティ3.0」の時代には,新しいアプリケーション,システム,アーキテクチャを構築する際に,プロジェクトの当初からセキュリティ基準を作り込んでいくことになります。
既にセキュリティ対策に苦心している企業にとって,セキュリティにより投資をしようという主張は,なかなか受け入れがたいと思います。
Wheatman氏:われわれは,「継続的にセキュリティ投資を行えば行うほど,セキュリティにかかる費用は削減される」と考えています。
Gartnerでは「セキュリティ成熟度モデル」という考え方を提示しています。これは,セキュリティ対策が不完全な企業がセキュリティ対策を開始した場合,セキュリティ・ポリシーが実行段階に入るまで,およそ3年ぐらいの期間が必要になるという考え方です。
Gartnerが行った調査によれば,実効性のあるセキュリティ対策が実現する3年間は,全IT予算に占めるセキュリティ予算の割合が,7~8%に達すると出ています。しかし,新しいアプリケーションを導入する際に,厳格なセキュリティ・テストを実行するようになれば,セキュリティ管理を通常の運用予算でまかなえる体制が整ってきます。そうなると,最終的にセキュリティ予算の割合は,全IT予算の3~4%に落ち着くようになるでしょう。
全IT予算の3~4%という水準は,企業が主要な災害リスクに対して払っているコスト(損害保険や労災保険などのコスト)とほぼ同額になります。全IT予算に占めるセキュリティ予算の割合が3~7%に収まらないような企業には,何らかの問題があると考えられます。
米国では,セキュリティ予算が全IT予算の3~7%を占めるのが一般的ということですが,日本ではどうでしょうか?
ガートナージャパンでセキュリティを担当するリサーチ・バイス・プレジデントである松原榮一氏:ガートナーが実施した「ITサービスUWN(User Wants and Needs)調査」では,次のようになっています。
情報セキュリティ管理予算が全IT予算に占める割合は,2006年が6%だったのに対して,2007年は7.8%にまで上昇しました。ちなみに,災害復旧対策予算が全IT予算に占める割合は,2006年の1.5%に対して2007年が2.2%でした。このほか,SOX法対策予算が全IT予算に占める割合は,2006年の1.0%が2007年には3.0%に上昇しました。
この調査には,中小企業も含まれるのでSOX法対策予算の割合は低めに出ています。上場企業だけを見ると,SOX法対策予算が全IT予算に占める割合は2006年が2.1%で,2007年は7.8%,災害対策予算が全IT予算に占める割合は2006年が2.4%で2007年が4.3%になりました。
日本では,セキュリティ予算の割合が高くなっていますね。
松原氏:そもそも日本企業の場合,売上高に占めるIT予算の割合が米国企業よりも低くなりがちです。ですから,売上高に占めるセキュリティ予算の割合で見ると,日本企業と米国企業の傾向はほぼ同じになるでしょう。
とはいえ,日本企業のセキュリティ対策が万全だとは言えません。日本情報処理開発協会(JIPDEC)の調査では,「セキュリティ・ポリシーを定めている」と答えた企業の割合が70%近くに達するのに対して,「セキュリティのリスク分析を実施した」と答えた企業の割合が32.3%に留まっていました。つまり,全体の4割近くの企業が,セキュリティ・リスクの分析もせずに,セキュリティ・ポリシーを策定しているのです。
リスクの分析をせずに立てたセキュリティ・ポリシーなど,まさに「絵に描いた餅」でしかありません。セキュリティ・ポリシーを日々の活動に落とし込んだ「実施基準や既定類」を作っている企業の割合も56%に留まっています。形だけのセキュリティ対策を行って,中身が伴っていない日本企業が多いのではないかと懸念しています。
