このような悩みを払拭する1つの解として、日本マイクロソフトが発行したばかりの「マイクロソフト セキュリティガイドブック」が活用できそうです。このガイドラインでは、情報セキュリティ対策の費用対効果を明確にするためのさまざまな考え方が提供されています。
費用対効果というと難しいと思われるかもしれませんが、簡単に言えば「情報セキュリティ対策をどこまでやればいいのか」ということです。
サイバーセキュリティ経営ガイドラインでは、経営者にセキュリティ意識を持ってもらうことで情報セキュリティを経営に取り込んでもらおうということでした。一方でマイクロソフトのセキュリティガイドブックは情報セキュリティ専門家に経営意識を持ってもらうことで、情報セキュリティを経営に取り込んでもらおうというアプローチのようです。
どちらがいいということではないのですが、この双方をうまく活用してリスクメネジメントを推進しましょう。
費用対効果から情報セキュリティを「どこまでやるか」を考える
このガイドブックが紹介している費用対効果の考え方について、ひとつかんたんなワークをやってみましょう。まずは前述のリンクからガイドブックをダウンロードし、3ページの図2を見てください。ここに情報セキュリティをどこまでやればいいのかについて一つの答えが書いてあります。
(図1)リスク受容レベルの設定が重要なポイントとなる (Microsoftセキュリティガイドブックから引用)
何も対策をしていない状態、または何らかの対策をしている状態で、その事故が発生した場合にどのくらいの被害があるのかを想定します。
この事例では、情報漏えいの損失が5000万円と想定しています。これは他社がどの程度の費用をかけて対応したのかというデータをもとに想定することができます。自分の環境に近いところの例を参考にしていただいてもよいですし、定量的リスク分析を実施できるスキルを持ったセキュリティコンサルタントに協力してもらいながら実際の被害を算定するのもいいかもしれません。
