緊急特別コラム「景気後退下の情報セキュリティ」

　現在の不況下において、企業の緊急の課題となっている「情報セキュリティ」をどのように考えるかについて、特別コラムとして報告します。

●景気後退下の情報セキュリティを考える

　景気後退下において情報セキュリティへの投資も削減され、予定されたプロジェクトの延期や中止も耳にするところです。また倒産、企業統合、雇用不安等の不正を誘発する状況もあり、不況を反映したマルウェアやインシデントの増加が見られるところです。一方でイノベーションによる市場創出の要求もあり、ビジネスの積極展開に向けては情報セキュリティに裏づけされた安全性が特に求められます。本コラムでは、景気後退下におけるセキュリティの特徴的な状況と求められるソリューションについて報告します。

1.セキュリティ市場

　日本ではIT投資が減じる中で、情報セキュリティ予算が削減されています。一方で、米国ではセキュリティ予算が官民とも増えていると伝えるところもあり、2008年2月発行のウォールストリートジャーナルによるとブッシュ政権は、1年間で60億ドルをサイバーセキュリティに投資しようとしていたといいます(セキュリティ業界の市場規模は、200億ドル程度)。また不況にもかかわらず企業の多くがITセキュリティプロジェクトに投資する予定だといわれ(*参考1)、さらに整備が一巡した大企業に代わり、中小企業のセキュリティ整備が注目されている米国では、僅かながら増加するとの調査報告もあります。

*参考1 Robert Half Technology
http://www.csoonline.com/article/489109/Report_Security_Tops_IT_Budget_Priorities

2.金融危機のセキュリティへの影響

　景気後退下での倒産や、吸収合併、雇用不安が不正を誘発する状況を作っており、現実に不況を反映するようなインシデント、マルウェアが増加しているとの報告もあります(*参考2)。そんな中、企業経営者は事業の存続やビジネス拡大戦略に直結する投資に傾いていることが伝えられているところですが、一方ビジネスチャンスの足がかりとしてセキュリティに関する特徴的な動きも見せていたり、セキュリティ予算を企業サービス継続にかかわるインフラ予算として積極投資を考える企業もあるようです。このような状況から企業、組織間のセキュリティ格差が拡大することが懸念されるところです。

*参考2 PandaLabs blog:As stock market drops malware rises
http://pandalabs.pandasecurity.com/archive/As-stock-market-drops-malware-rises.aspx

(1)広範なリスクマネージメントのニーズ

A.包括的なリスクマネージメント

　情報セキュリティ投資が全体的に削減される中、セキュリティを情報管理のみならず危機管理全般について包括的に捉えようとする企業も見受けられるようになりました。

　経営環境が複雑化する中で企業が抱えるリスクが多様化していますので、個別の対応では効果的ではありません。そのため、社内外で発生し得るリスクを網羅的に把握し、発生可能性や影響度を評価した上で、適切な対策を決めていくことが現実的で効果的だとの認識が強まってきているようです。

　また今日のグローバル化やIT化の進展、事業展開のスピードアップ等に加えて、CSR(企業の社会的責任)に対する注目が集まっていることを背景に、コンプライアンス、内部統制の点から、企業経営におけるリスク対応の重要性が増し、リスクマネージメントを内部統制と一体となってPDCA(Plan Do Check Action)を回そうとする動きが見られます。

B.ポジティブに捉えるリスク

　リスクをネガティブなものとして捉えるばかりでなく、ビジネスチャンスとして捉えてリスクを軽減する統制活動だけではなく、リスクをマネージすることが2000年前後のビジネス環境の激変期から注目され始めました。2004年には企業価値の向上をねらったCOSO-ERM(エンタプライズリスクマネージメント)(*参考3)が米国のトレッドウェイ委員会組織委員会(COSO)から公表されました。COSO-ERMでは、企業価値を高めるための手段として、戦略リスクと内部統制の構築・運用にかかわるオペレーション・リスクを対象としてリスクマネージメントのプロセスを示しています。日本では、2008年の経済白書で、リスクテイクと競争力の関係についての調査(*参考4)が報告されています。

*参考3 COSO-ERM
http://www.erm.coso.org/Coso%5Ccoserm.nsf/frmWebCOSOHome?ReadForm

*参考4 2008年経済白書(経済産業省)
http://www5.cao.go.jp/j-j/wp/wp-je08/08p00000.html

(2)セキュリティ対策のシビアな選別

　整備対象のセキュリティ対策については、優先順位をつけたシビアな選別が進んでおり、事業の継続にとって不可欠なセキュリティ対応から順次進めているところが多くなっています。従来からセキュリティの投資効果が見えにくいといわれており、このことがさらに景気後退下でのセキュリティ投資削減にも繋がっています。容易に効果を検証できる実際的な手法が求められるところです。米国では、多数の企業(80%)でROI(Return On Investment)によるセキュリティにかかわる投資効果を評価していますが、従来から日本においては一部の企業(11%程度)でしか実施していないようです(*参考5)。

*参考5 米国における情報セキュリティの動き
http://www.nttdata-sec.co.jp/article/security/080515.html

3.求められるセキュリティソリューション

(1)従来ソリューションの効率化

・セキュリティ評価支援

　効果的なセキュリティ対策を選別、優先順位付けのニーズに対応して、現状のセキュリティ対策を評価するフレームや基準、ツールを利用することが考えられます。クレジットカード業界で導入が進められているセキュリティ評価基準(PCI DSS)(*参考6)を利用することも有効でしょう。また最近ではセキュリティ成熟度に基づくセキュリティシステム構築支援、監査サービスも提案されているところです。

・投資軽減ソリューション

　ユーザーが求めるサービスパターンは、安価でかつ手軽に利・活用できるようなサービスや、専門的ノウハウを提供するセキュリティ専門ベンダに委託することが加速されてくるでしょう。簡便、安価な(インフラの改造は伴わない)コスト削減ソリューションとしては、統合化(アイデンティティ管理、ログ管理等)、自動化、アウトソーシングによる運用負担軽減、SaaS型のウイルス対応(パターンファイルの不要化)やスパムメール防止等もニーズが高いでしょう。

*参考6 クレジットカードセキュリティ基準PCI DSS
http://www.nttdata-sec.co.jp/article/security/061101.html

(2)広範なニーズへの積極展開

・コンプライアンス、CSR対応ソリューション

　今やコンプライアンスは…

【次回の予告】
日本を中心とした情報セキュリティの大きな潮流について将来への動きも含めて解説する予定です。

【執筆：元東京大学客員教授林誠一郎】
＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ　セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec