緊急特別コラム「景気後退下の情報セキュリティ」

景気後退下において情報セキュリティへの投資も削減され、予定されたプロジェクトの延期や中止も耳にするところです。また倒産、企業統合、雇用不安等の不正を誘発する状況もあり、不況を反映したマルウエアやインシデントの増加が見られるところです。一方でイノベーションによる市場創出の要求もあり、ビジネスの積極展開に向けては情報セキュリティに裏づけされた安全性が特に求められます。本コラムでは、景気後退下におけるセキュリティの特徴的な状況と求められるソリューションについて報告します。

日本ではIT投資が減じる中で、情報セキュリティ予算が削減されています。一方で、米国ではセキュリティ予算が官民とも増えていると伝えるところもあり、2008年2月発行のウォールストリートジャーナルによるとブッシュ政権は、1年間で60億ドルをサイバーセキュリティに投資しようとしていたといいます(セキュリティ業界の市場規模は、200億ドル程度) <参考1> 。また不況にもかかわらず企業の多くがITセキュリティプロジェクトに投資する予定だといわれ <参考2> 、さらに整備が一巡した大企業に代わり、中小企業のセキュリティ整備が注目されている米国では、僅かながら増加するとの調査報告もあります <参考3> 。

<参考1> ZDNet　Japan　2008年2月5日
http://japan.zdnet.com/news/sec/story/0,2000056194,20366566,00.html
<参考2> Robert Half Technology
http://www.csoonline.com/article/489109/Report_Security_Tops_IT_Budget_Priorities
<参考3> Forresterの調査
http://www.itmedia.co.jp/enterprise/articles/0901/09/news015.html

景気後退下での倒産や、吸収合併、雇用不安が不正を誘発する状況を作っており、現実に不況を反映するようなインシデント、マルウエアが増加しているとの報告もあります <参考4> 。そんな中、企業経営者は事業の存続やビジネス拡大戦略に直結する投資に傾いていることが伝えられているところですが、一方ビジネスチャンスの足がかりとしてセキュリティに関する特徴的な動きも見せていたり、セキュリティ予算を企業サービス継続に関わるインフラ予算として積極投資を考える企業もあるようです。このような状況から企業、組織間のセキュリティ格差が拡大することが懸念されるところです。

<参考4> ITmedia
http://www.itmedia.co.jp/enterprise/articles/0811/25/news011.html

（1）広範なリスクマネージメントのニーズ

（a）包括的なリスクマネージメント

情報セキュリティ投資が全体的に削減される中、セキュリティを情報管理のみならず危機管理全般について包括的に捉えようとする企業も見受けられるようになりました。 経営環境が複雑する中で企業が抱えるリスクが多様化していますので、個別の対応では効果的ではありません。そのため、社内外で発生し得るリスクを網羅的に把握し、発生可能性や影響度を評価した上で、適切な対策を決めていくことが現実的で効果的だとの認識が強まってきているようです。
また今日のグローバル化やIT化の進展、事業展開のスピードアップ等に加えて、CSR(企業の社会的責任)に対する注目が集まっていることを背景に、コンプライアンス、内部統制の点から、企業経営におけるリスク対応の重要性が増し、リスクマネージメントを内部統制と一体となってPDCA(Plan Do Check Action)を回そうとする動きが見られます。

（b）ポジティブに捉えるリスク

リスクをネガティブなものとして捉えるばかりでなく、ビジネスチャンスとして捉えてリスクを軽減する統制活動だけではなく、リスクをマネージすることが2000年前後のビジネス環境の激変期から注目され始めました。2004年には企業価値の向上をねらったCOSO-ERM(エンタプライズリスクマネージメント) <参考5> が米国のトレッドウェイ委員会組織委員会(COSO)から公表されました。COSO-ERMでは、企業価値を高めるための手段として、戦略リスクと内部統制の構築・運用に関わるオペレーション・リスクを対象としてリスクマネージメントのプロセスを示しています。日本では、2008年の経済白書で、リスクテイクと競争力の関係についての調査 <参考6> が報告されています。

<参考5> COSO-ERM
http://www.erm.coso.org/Coso%5Ccoserm.nsf/frmWebCOSOHome?ReadForm
<参考6> 2008年経済白書(経済産業省)
http://www5.cao.go.jp/j-j/wp/wp-je08/08p00000.html

（2）セキュリティ対策のシビアな選別

整備対象のセキュリティ対策については、優先順位をつけたシビアな選別が進んでおり、事業の継続にとって不可欠なセキュリティ対応から順次進めているところが多くなっています。従来からセキュリティの投資効果が見えにくいといわれており、このことがさらに景気後退下でのセキュリティ投資削減にも繋がっています。容易に効果を検証できる実際的な手法が求められるところです。米国では、多数の企業(80%)でROI(Return On Investment)によるセキュリティに関わる投資効果を評価していますが、従来から日本においては一部の企業(11%程度)でしか実施していないようです <参考7> 。

<参考7> 米国における情報セキュリティの動き
http://www.nttdata-sec.co.jp/article/security/080515.html

（1）従来ソリューションの効率化

• セキュリティ評価支援
  効果的なセキュリティ対策を選別、優先順位付けのニーズに対応して、現状のセキュリティ対策を評価するフレームや基準、ツールを利用することが考えられます。クレジットカード業界で導入が進められているセキュリティ評価基準(PCI DSS) <参考8> を利用することも有効でしょう。また最近ではセキュリティ成熟度に基づくセキュリティシステム構築支援、監査サービスも提案されているところです。
• 投資軽減ソリューション
  ユーザーが求めるサービスパターンは、安価でかつ手軽に利・活用できるようなサービスや、専門的ノウハウを提供するセキュリティ専門ベンダに委託することが加速されてくるでしょう。簡便、安価な(インフラの改造は伴わない)コスト削減ソリューションとしては、統合化(アイデンティティ管理、ログ管理等)、自動化、アウトソーシングによる運用負担軽減、SaaS型のウイルス対応(パターンファイルの不要化)やスパムメール防止等もニーズが高いでしょう。
<参考8> クレジットカードセキュリティ基準PCI DSS
http://www.nttdata-sec.co.jp/article/security/061101.html

（2）広範なニーズへの積極展開

• コンプライアンス、CSR対応ソリューション
  今やコンプライアンスは、リスクマネージメントの中心になってきました。コンプライアンスはリスクやセキュリティと密接に関係しており、内部統制、法規制に直接的に対応する包括的なソリューションのニーズが高くなってきます。
• 先鋭コンサルティング
  時代を先取りした先鋭コンサルタントのニーズが増加することが予想されます。例えば、広範なリスクマネージメント、フォレンジック、インシデント前提ソリューション、事業継続管理(BCM)などが考えられます。

（3）知的生産性の高度化に向けて

• 情報共有の拡充にともなうソリューション
  景気後退下で新しい価値を創造する仕組(情報の共有と活用など)が求められ、情報共有においては情報セキュリティの整備が前提になります。
• セキュリティ対策による生産性低下の回避
  セキュリティ対策によりPCの持ち出しが禁止されたり、アプリケーションの使用が制限されたり、認証の手続きが煩雑化する等、生産性を妨げてきたセキュリティ対策から脱却するソリューションが期待されます。