もう十数年も前のことだが、あるセキュリティベンダーのエバンジェリストから「決裁箱」の例え話を聞いたことがある。「セキュリティ案件の稟議書は決裁箱に入れられるが、実際に決裁されることはない。なぜなら、その上には他の重要案件の稟議書が積まれており、セキュリティ案件の決裁にまでたどり着かないからだ」。
つまり、こういうことだ。セキュリティ関係の投資は重要案件だが、ほかにも重要案件がある。IT予算の枠組みの中で、セキュリティ関連案件を検討したりすると、事業部門が待ち望む新システムの構築案件などと“競合”することになる。重要案件ということでセキュリティ関連投資は検討されるが、つまり決裁箱に入るが、ほとんどの場合、“より重要な”他の案件への投資が優先される。
「セキュリティは重要」と言われるわりには、企業のセキュリティ関連投資が進まないわけを、エバンジェリストはそのように説明したのだ。
ただし例外があった。企業から大量の個人情報が漏洩するなど、セキュリティ関連の大事件が発生した場合だ。当事者である企業の経営トップが頭を下げる謝罪会見を見て、多くの企業の経営トップやCIO(最高情報責任者)は肝を冷やす。そうなると、投資対効果などの検討もそこそこに、多額のセキュリティ関連投資が即座に決定されるというのだ。
セキュリティ対策費が原価に
十数年前の昔話を書いてきたが、今の話と言われても全く違和感は無いだろう。以前も今も、企業のセキュリティ関連投資は、過少と過剰の間を振り子のように揺れる。
単に投資だけの問題ではない。大規模な情報漏洩事件などが発生すると、デジタルビジネスなどの取り組みに支障をきたすほど、企業のセキュリティ対策は厳格になる。だが、時と共に緩みが生じ、やがてまたどこかの企業で大事件が起こる。その繰り返しだ。
