米国における情報セキュリティの動き＜第1回＞―コンプライアンスが求められる中でー

米国におけるセキュリティ関連の現状調査として知られているCSI（Computer Security Institute）の調査報告（Computer Crime and SecuritySurvey）2007年版から、その特徴的な調査データを中心に、日本の状況との比較も加えながら米国での情報セキュリティの状況を解説していきます。CSIの調査報告は毎年500前後の私企業（金融、流通、製造等）、教育関係、連邦・地方行政組織、軍関連等幅広い業種・業態の組織から収集した情報をもとにFBIの協力で分析したもので、今回で12回目になります。

今回のコラムでは、セキュリティの経営面に関することとして、「情報セキュリティ予算と投資効果」、「情報セキュリティ機能の外部委託」、「情報セキュリティに関わるサイバ保険」について解説します。その後数回にわたって脅威の発生状況や対策状況、また今後のWeb2.0やSaaSに向けた新たな脅威への対応も含めて連載していく予定です。

なお、日本についての動向は主に文末に挙げる資料を参考にしております。

（注）
＜CSI調査＞CSIの調査で、情報セキュリティに関して回答のあった組織についての状況を報告したものです。調査報告書の入手サイト：
http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml

【1】情報セキュリティ予算と投資効果

（1） ITにおける情報セキュリティ予算の割合

セキュリティに関わる予算はIT予算の10％未満がほとんどですが、その中ではバラツキを見せるものの、3％から5％が一番多くなっています＜CSI調査＞。最近の傾向としては、法規制や業界監査等のコンプライアンス要件（*1）を満たすための機能・プロセスを実装する目的で、セキュリティ予算を増額している例が多いようです。　日米ともIT予算に占めるセキュリティ予算の割合について、さほどの差がみられないようです。

一般にどの程度の投資が水準になっているのでしょうか。2007年12月4日にITproに掲載された米ガートナー社Victor S. Wheatman氏へのインタビュー記事によると、実効性のあるセキュリティ対策が実現するまでの3年間は、全IT予算に占めるセキュリティ予算の割合が7〜8％に達するとしています。その後、セキュリティ管理を通常の運用予算でまかなえる体制が整ってくると、最終的にセキュリティ予算の割合は、全IT予算の3〜4％に落ち着くようになると述べております。保険等の災害リスクに関わる予算から考えると、当たらずとも遠からずというところでしょうか。

（*1）SOX法が求める内部統制や連邦政府を対象としたFISMA （連邦情報セキュリティマネジメント法：the Federal Information Security Management Act）、医療・保険業界を対象としたHIPAA法（医療保険の相互運用性と説明責任に関する法律：Health Insurance Portability and Accountability Act）、金融業界を対象としたグラム・リーチ・ブライリー法、クレジットカード業界のPCIDSS（データ・セキュリティ基準：Payment Card Industry Data Security Standard）といった個人情報漏洩に係る法規制や業界基準に対し、直接関係しない業界も含めて、業界横断的に注目される傾向を示しています。

（2）情報セキュリティ投資効果の評価

米国では、多数の企業（80％）でROI（Return On Investment）（*2）によるセキュリティに関わる投資効果を評価していますが＜CSI調査＞、日本では一部の企業（11％程度）でしか実施していないようです。＜参考資料1＞

セキュリティはリスクを回避するために事前にとる対策であり、直接的に売り上げに結びつくものではないことから、ROIの測定・評価は一般に難しいものとなっています。但し、今日セキュリティ予算は大きくなっていることから、経営者への予算要求に説得力が求められますし、投資家に対する説明責任を果たす上にも投資効果の可視化が期待されているところです。パッチ管理の自動化ツールの導入による負担軽減効果を測定する等、限定された範囲を対象としてセキュリティ投資効果を評価することは比較的容易で効果的かもしれせん。セキュリティサービスの提供ベンダも、顧客の事業拡大や生産性向上に寄与する戦略的な情報活用のために、セキュリティ投資対効果（ROSI）を考慮したセキュリティ要件を導出できるソリューション（*3）を志向するようになっています。

一方で情報セキュリティ投資は、顧客の信頼を高める、あるいは、株主の信頼を高める等、財務指標では表せない企業価値を生み出すことにつながることの効果も見逃せないところです。

（*2）ROIは、（利益/投資額）×100%で表され、ROIが大きいほど収益性に優れた投資ということになります。
（*3）効果的かつ効率的なITガバナンスを実現するITセキュリティ基盤「VANADISセキュリティ」
http://www.bcm.co.jp/site/2006/08/tamatebako/ntt-data/0608-ntt-data.html

【2】情報セキュリティの外部委託

何らかのセキュリティ機能を外部委託している企業の割合は40％程度であり、日本との差は見られません。米国では、外部委託している殆どの組織で全セキュリティ機能の20％〜50％程度を外部委託しているのが実態のようです。また情報セキュリティの全ての機能を外部委託している組織は2％に留まっています。ここ3年を比較すると、外部委託に依存する組織の割合に、ほとんど変化が見られないようです＜CSI調査＞。

米国では、SOX法を契機として、極端なアウトソーシングには見直しが入っており、SOX法が求める内部統制の強化から、一部企業では統制が行き届きにくいとの理由から外部委託を止め、自前で実施するケースも見受けられます。今日IT抜きの経営は成り立ちませんが、外部委託によって社外のITリスクをコントロールできないとすると、結果として経営者の責任を問われることになります。某大手米国銀行ではITを全てコンピュータベンダに丸投げしていたことが問題になり、現在はコンピュータベンダからITの運用を社内に戻しているとのことです。

一方で、Web2.0等に代表されるような新たなサービスの出現から、脅威は複雑化、広範囲にわたってきています。また政府による法規制に加え、データ流出や成りすましなどをめぐる事件が多発し、組織に対する情報保護対策の強化が強く求められています。こうした中、ライフサイクルを通じた総合的なセキュリティ運用を専門企業に外部委託する例も増えているようです。

【3】サイバ保険について

サイバ保険に入っている組織は30％であり、最近では顕著な伸びが見られません。＜CSI調査＞また日本では、8％程度とまだまだ少ないようです。
＜参考資料1＞

米国では、情報セキュリティ保険市場は2007年には10億ドル市場と予測（*4）されるようです。JNSA（日本ネットワークセキュリティ協会）の調査によると、日本では2007年には…

（*4）IPA「情報セキュリティ保険市場の動向」
http://www.ipa.go.jp/about/NYreport/200512.pdf
（*5）JNSA「セキュリティ市場調査
http://www.jnsa.org/seminar/2007/070606/data/pol03_katsumi.pdf

【執筆：東京大学情報セキュリティコミュニティ副代表林誠一郎】

【参考資料】
＜参考資料1＞
情報セキュリティ大学院大学「情報セキュリティ調査から見た日米情報セキュリティ比較」
http://www.uchidak.com/chuo/2006_Japan_CSI.pdf#search='telecom fraud セキュリティ'
＜参考資料2＞
NTTデータ・セキュリティ「セキュリティ対策コラム」：
http://www.nttdata-sec.co.jp/column/index.html
＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【次回の予定】
次回は米国での情報セキュリティに係る事件や脅威の状況について解説する予定です。

【関連リンク】
NTTデータ・セキュリティ | セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec