情報セキュリティ対策への投資というと,「直接的な収益を生まない」という後ろ向きなイメージが強い。だが「それは違う」という意見もある。

 米ITリサーチ会社ガートナーのリサーチ バイスプレジデントで,セキュリティ分野のアナリストでもあるエリック・アウレット氏は「セキュリティへの投資はビジネス・バリュー(価値)を生む。その組織の経営力が高まるからだ」と強調する。

 例えば,「安全・安心」を売りにするホテルは,セキュリティ設備を強固なものにするために投資するだろう。鉄工所で作業をするときには,しっかりとした防護服を着る。アウレット氏はいくつか例を挙げつつ,「バリューを生むための活動には,しかるべく設備が必要。情報セキュリティ対策もそれに類するものだ」と説明する。

 当初,ネット・ビジネスはセキュリティ上問題があると言われてきた。しかし,ファイアウオールやVPN(仮想私設網),IDS(侵入検知システム)などのテクノロジーが発達したことで,リスクを低減させたり,発生しうるリスクを特定することができるようになった。

 「適切なリスク対策を施すことで,そのビジネスを実施するメリットとリスクをきちんと可視化して議論できるようになる。そう考えると,セキュリティへの投資はれっきとしたビジネスへの投資だ」(アウレット氏)。

 アウレット氏は「セキュリティ対策は,その組織が経営のプロセスとして身につけるもの。個別の対策だけでは全く意味をなさない」と指摘する。ガートナーは組織が備える情報システムの強度を,「CMMI(能力成熟度モデル統合)」に沿った基準で測定しているという。

 ガートナーの調査で興味深いのが,情報セキュリティ対策の成熟度が高まるにつれて,IT投資におけるセキュリティ関連の支出額が低下していくこと。「セキュリティ対策の成熟度が高まれば,無駄な支出が減る」からだ。

※アウレット氏のインタビューの詳細は,後日姉妹サイト「Enterprise Platform」に掲載する予定です。