アークンセキュリティマガジン「せきゅまが。」vol.0054 [まぐまぐ！]

2008/07/24

アークンセキュリティマガジン「せきゅまが。」vol.0054

●○∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞
○
　　　　　　　　　　　アークンセキュリティマガジン

　　　　　　　　　　　「せきゅまが。」 vol.0054
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　○
∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞○●

ご┃あ┃い┃さ┃つ┃　
━┛━┛━┛━┛━┛

世の中のニュースはCO2削減と原油高一辺倒で、このところ大きなセキュリティ
事故も無いようです。こういう時にこそ油断大敵です。今一度、会社のそして
個人のPCのセキュリティを見直してみましょう。
さて、企業はどの程度の金額をセキュリティ対策に投下するべきでしょうか？　
今回の「せきゅまが。」は、「セキュリティ投資はどこまで？」を解説します。
最後までどうぞお付き合いください。

お┃知┃ら┃せ┃　
━┛━┛━┛━┛

迷惑メールがたくさん入ってきて仕事にならない！
大切なメールがどこかへいった！　など、お困りではありませんか？
アークンではスパム対策の決定版！BoxSentry社 RealMailの販売を開始しました。
詳細は以下まで！
http://www.ahkun.jp/product/rm.html

セ┃キ┃ュ┃リ┃テ┃ィ┃投┃資┃は┃ど┃こ┃ま┃で┃？┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

高いセキュリティを求めるほど大きな予算がかかりますが、セキュリティに幾ら
お金をかけても、そこから直接的な利益は生まれません。企業経営者の中には、
予算の上限や見切りの線引きが重要だと考えている方も多いでしょう。
プライバシーポリシーを策定し、従業員に配布して教育する。ネットワークには
ファイアウォール、PCにはウイルス対策ソフトを導入する。プライバシーマーク
の認証取得は、さてどうするか？・・・

では、企業はどの程度の金額をセキュリティ対策に投下するべきでしょうか？　
「売上の○○％まで」など、具体的な基準はあるのでしょうか？
今回は、このあたりのセキュリティ投資のあり方について考えてみましょう。

●最低でも0.46％？
　
この問題を考察する材料として、先ずは事実を明確にしておきたいと思います。

Ｑ１：現在、企業のセキュリティ予算は足りているのか？
Ａ１：どんな統計を見ても、答えはNOですね。

Ｑ２：現在、企業のセキュリティ予算は増加傾向にあるのか？
Ａ２：どんな統計を見ても、答えはYESですね。

Ｑ３：現在、企業は実際にどのくらいセキュリティに投資しているのか？
Ａ３：「国内IT投資動向調査報告書 2007(CIO Magazine, ITR)」の調査では、
　2006年の売上高に占めるIT予算の比率は平均3.2％で、その内、セキュリティ
　への投資は14.5％です。つまり、売上高に占めるセキュリティ予算の実際は、
　0.46％ということになります。

さて、これらの事実を踏まえて、答えは「最低でも0.46％」と単純に言えるので
しょうか？

●単純な予算算出は無意味

ITへの依存度は、企業によって異なりますから、単純に「売上高に占めるセキュ
リティ予算」は何％かという議論は意味がありません。企業規模、業種、情報の
重要度や資産価値などによってもITへの依存度は大きく異なりますので、正確な
数字を出すことは困難です。

一般的に、企業規模の小さいところは、売上高に占めるセキュリティ予算比率は
高く、企業規模が大きくなればなるほど、この比率が低くなる、という傾向があ
ります。ですから、売上高に占めるセキュリティ比率の算出には、「ITへの依存
度」と「企業規模」も加味する必要があります。

前出の「国内IT投資動向調査報告書 2007」によれば、2006年の売上高に占める
IT予算の比率は平均3.2％です。
貴方の企業はこれに比べて多いですか？少ないですか？

●前向きな投資

とは言うものの、一般的企業では、予算に基づいてセキュリティ対策を実施して
いるケースは少ないですね。大抵は、必要に応じてとか、セキュリティ事故など
が出費のトリガーになっています。
「これではダメだ」と感じている経営者がいるからこそ、売上の何％なんていう
発想が生まれるわけですが、実際のセキュリティ担当者側からすれば、「必要な
対策はやれ！」とプレッシャーもかけられているわけで、「費用は売上げの何％
まで」といった予算の決め方そのものがナンセンスなのかもしれません。

セキュリティへの投資は、一般的には「直接的な売上を上げない」「業務効率を
上げない」、そして「コスト削減に相反する」など「前向きな投資では無い」と
考えられています。
ただし、的確なセキュリティ投資によって、顧客の不安感に伴う営業機会の損失
を軽減したり、セキュリティ事故による無駄な謝罪費や損害賠償を軽減したりで
きます。
結果として企業利益の向上につながる、実は「前向きな投資」なのです。

最後に・・・
企業がセキュリティ事故を起こし、顧客情報が漏えいした場合の、顧客に対する
損害賠償額をご存知ですか？
一般的に1人当たり2万2千円～3万5千円です。1回の事故で、5万人分が漏えいし
たらどうなるでしょうか？

以上、今回はここまで！

本記事はサイボウズ・メディアアンドテクノロジー株式会社の発行する
Scan Security Management 掲載記事を発行元許諾の上転載しました。

○∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞○
このメルマガは『まぐまぐ』http://www.mag2.com を利用して発行しています。

                 ↓"登録" "解除"はこちら↓
★アークン  http://www.ahkun.jp/company/secumaga.html
★まぐまぐ　http://www.mag2.com/m/0000129284.htm

発　行：株式会社アークン  http://www.ahkun.jp
発行日： 2008年7月25日

※無断転用・複製を禁じます。内容に関していかなるトラブルが発生しても、
  当方では一切の責任を負いかねますので、ご了承ください。
※記載されている会社名および製品名、サービス名は各社の商標または
  登録商標です。
Copyright 2008 Ahkun Co., Ltd. All Rights Reserved.
○∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞○