TOPSoftware > サイバーセキュリティの投資対効果、説得の難しさ

Software

サイバーセキュリティの投資対効果、説得の難しさ

2017/05/29

Taylor Armerding CSO

 発生しないことへの投資対効果について取締役会に納得させるには、どうすればよいのだろうか。

Credit: Thinkstock

 この問いは新しいものではない。企業のITセキュリティ責任者が予算の正当性を訴える時には、この問いに絶えず直面している。予算の増額を求めている時には特にそうだ。サイバー侵害の可能性は高まる一方との調査結果がいくつも示される中、この問いに直面する機会は今後さらに増えるはずだ。米Gartnerが数年前から使っている有名な言葉で、「予防は無駄」というものもある。

 米国時間2017年5月24日に開催されたシンポジウム「MIT Sloan CIO Symposium」のパネルディスカッション「Measuring ROI for Cybersecurity:Is it Real, or a Mirage」では、この問いに対していくつかの有効な答えが示された。その多くは、「what if(もし~したらどうなるか)」を重視している。

 米連邦住宅抵当公庫のバイスプレジデント兼CISO(最高情報セキュリティ責任者)、Christopher Porter氏は、ひとまず計算してみることを答えの1つとして挙げた。例えば、100万人の顧客の信用情報のデータが侵害を受けるとした場合、信用情報の提供が仮に1人当たり年間20ドル分の価値にすぎなかったとしても、合計で2000万ドル分であり、「そこに訴訟費用などを加味すれば、概算の足掛かりになる」とPorter氏は話した。連邦住宅抵当公庫では「FAIR(Factor Analysis of Information Risk)」というモデルを使っているとのことだ。FAIR InstituteのWebサイトによると、FAIRとは、「リスクとは何か、リスクがどのように働くか、リスクをどのように定量化するかを規定するモデル」である。

↑ページ先頭へ