先日、あるオンラインバンキングシステムのご担当者と話をしました。IDの不正利用に対抗するための対策を検討しているとのことでした。しかし、社内では新しいシステムの導入に反対する意見も出ているとのことでした。
反対されている方の意見は、こうです。
- セキュリティ対策にはこれまでに相当のコストをかけてきた。
- これまでも「○○は必要なんです」と聞いてきた。
- あとどれくらいコストがかかるのかが分からない。
- これまで対策をしたにもかかわらず不正利用は減らない。
- 対策コストが底なしなら、いっそ対策をやめたらどうなるのか。
被害額とセキュリティ対策コストから投資対効果を算出しようとしても、対策コストが底なしなので、何のための対策なのかが分からなくなってきたのです。そして、新しい対策への投資を反対されている方は、「いっそのこと対策はやめてしまって、被害額の補填に回した方が安くつくのではないか」と言われているそうです。
セキュリティ専門家からすれば「対策をしないことによる企業価値の低下をどう考えるのか」などと食ってかかるところですが、言われてみれば確かに一理あるご意見です。
ある一定レベルを超えて対策を進めようとすると、そこから先は、コストと得られる効果が必ずしも比例せず、逆に反比例することが多くあります。つまり、得られる効果に対して、かかるコストがぐっと高額になるというわけです。例えば、98%のユーザーを守れるレベルまで対策を実施したとします。この割合を1%引き上げて99%にすることを検討したら、「対策には10億円かかるが、対策しない場合の想定被害額は5億円」となったらどうでしょう。1%割合を引き上げるために対策すべきだと言い切れるでしょうか。
