セキュリティ対策コラム　―コンプライアンスが求められる中で―米国における情報セキュリティの動き＜第1回＞

(1)　ITにおける情報セキュリティ予算の割合

セキュリティに関わる予算はIT予算の10％未満がほとんどですが、その中ではバラツキを見せるものの、3％から5％が一番多くなっています＜CSI調査＞。最近の傾向としては、法規制や業界監査等のコンプライアンス要件（※1）を満たすための機能・プロセスを実装する目的で、セキュリティ予算を増額している例が多いようです。　日米ともIT予算に占めるセキュリティ予算の割合について、さほどの差がみられないようです。

一般にどの程度の投資が水準になっているのでしょうか。ガートナー（※2）の報告によると、実効性のあるセキュリティ対策が実現するまでの3年間は、全IT予算に占めるセキュリティ予算の割合が7～8％に達するとしています。その後、セキュリティ管理を通常の運用予算でまかなえる体制が整ってくると、最終的にセキュリティ予算の割合は、全IT予算の3～4％に落ち着くようになると述べております。保険等の災害リスクに関わる予算から考えると、当たらずとも遠からずというところでしょうか。

※1　SOX法が求める内部統制や連邦政府を対象としたFISMA （連邦情報セキュリティマネジメント法：the Federal Information Security Management Act）、医療・保険業界を対象としたHIPAA法（医療保険の相互運用性と説明責任に関する法律：Health Insurance Portability and Accountability Act）、金融業界を対象としたグラム・リーチ・ブライリー法、クレジットカード業界のPCIDSS（データ・セキュリティ基準：Payment Card Industry Data Security Standard）といった個人情報漏洩に係る法規制や業界基準に対し、直接関係しない業界も含めて、業界横断的に注目される傾向を示しています。

※2　ガートナの記事（ITプロから）：
http://itpro.nikkeibp.co.jp/article/Interview/20071203/288555/

(2)　情報セキュリティ投資効果の評価

米国では、多数の企業（80％）でROI（Return On Investment）（※1）によるセキュリティに関わる投資効果を評価していますが＜CSI調査＞、日本では一部の企業（11％程度）でしか実施していないようです。＜参考資料1＞

セキュリティはリスクを回避するために事前にとる対策であり、直接的に売り上げに結びつくものではないことから、ROIの測定・評価は一般に難しいものとなっています。但し、今日セキュリティ予算は大きくなっていることから、経営者への予算要求に説得力が求められますし、投資家に対する説明責任を果たす上にも投資効果の可視化が期待されているところです。パッチ管理の自動化ツールの導入による負担軽減効果を測定する等、限定された範囲を対象としてセキュリティ投資効果を評価することは比較的容易で効果的かもしれせん。

セキュリティサービスの提供ベンダも、顧客の事業拡大や生産性向上に寄与する戦略的な情報活用のために、セキュリティ投資対効果（ROSI）を考慮したセキュリティ要件を導出できるソリューション（※2）を志向するようになっています。 一方で情報セキュリティ投資は、顧客の信頼を高める、あるいは、株主の信頼を高める等、財務指標では表せない企業価値を生み出すことにつながることの効果も見逃せないところです。

※1　ROIは、(利益/投資額)×100%で表され、ROIが大きいほど収益性に優れた投資ということになります。

※2　効果的かつ効率的なITガバナンスを実現するITセキュリティ基盤「VANADISセキュリティ」
http://www.bcm.co.jp/site/2006/08/tamatebako/ntt-data/0608-ntt-data.html

何らかのセキュリティ機能を外部委託している企業の割合は40％程度であり、日本との差は見られません。米国では、外部委託している殆どの組織で全セキュリティ機能の20％～50％程度を外部委託しているのが実態のようです。また情報セキュリティの全ての機能を外部委託している組織は2％に留まっています。ここ3年を比較すると、外部委託に依存する組織の割合に、ほとんど変化が見られないようです。＜CSI調査＞

米国では、SOX法を契機として、極端なアウトソーシングには見直しが入っており、SOX法が求める内部統制の強化から、一部企業では統制が行き届きにくいとの理由から外部委託を止め、自前で実施するケースも見受けられます。

今日IT抜きの経営は成り立ちませんが、外部委託によって社外のITリスクをコントロールできないとすると、結果として経営者の責任を問われることになります。某大手米国銀行ではITを全てコンピュータベンダに丸投げしていたことが問題になり、現在はコンピュータベンダからITの運用を社内に戻しているとのことです。

一方で、Web2.0等に代表されるような新たなサービスの出現から、脅威は複雑化、広範囲にわたってきています。また政府による法規制に加え、データ流出や成りすましなどをめぐる事件が多発し、組織に対する情報保護対策の強化が強く求められています。こうした中、ライフサイクルを通じた総合的なセキュリティ運用を専門企業に外部委託する例も増えているようです。

サイバ保険に入っている組織は30％であり、最近では顕著な伸びが見られません。＜CSI調査＞また日本では、8％程度とまだまだ少ないようです。＜参考資料1＞

米国では、情報セキュリティ保険市場は2007年には10億ドル市場と予測（※1）されるようです。JNSA(日本ネットワークセキュリティ協会)の調査によると、日本では2007年には70億円市場へと着実に増加すると予測（※2）しています。

リスクマネージメントの実行が進む中で、リスクを回避する手段として保険をかける傾向が今後強く出てくると思われます。また、サイバーリスクに関わる経験が積み重なる中で、魅力的な保険価格が期待できるようになっていくことも、市場拡大を後押しすることになるでしょう。

※1　IPA「情報セキュリティ保険市場の動向」
http://www.ipa.go.jp/about/NYreport/200512.pdf

※2　JNSA「セキュリティ市場調査]
http://www.jnsa.org/seminar/2007/070606/data/pol03_katsumi.pdf