POINT1:サイバーセキュリティ投資(コスト)とは
サイバーセキュリティの投資(コスト)としては、p.94(MISSION3-4:投資効果(費用対効果)を認識する)に示した対策費用以外にも、さまざまなコストがあります。
POINT2:サイバーセキュリティ対策はどこまでやればよいのか
これで万全というサイバーセキュリティはありません。特に、技術的対策にどれだけ投資してもリスクは残ります。管理的対策や人的対策を優先する方が効果的です。想定被害額を上回るセキュリティ対策費を費やすことは現実的ではありません。セキュリティ対策費が、セキュリティ侵害による想定被害額を上回っている場合は、対策費を削減すべきです。
セキュリティ侵害による想定被害額(経済的損失、社会的信用) > セキュリティ対策費
問題は残ったリスク(残留リスク)によって発生した被害の想定被害額が、支出可能な対策費を上回っている場合は、事業継続が困難になりますので、支出可能な対策費に収まるように残留リスクを下げる対策を講じるか、支出可能な対策費を捻出する必要があります。
セキュリティ侵害発生時に支出可能な対策費 > 残留リスクによる想定被害額
残留リスクをどこまで許容できるかは、まさに経営者の判断です。
【コラム】「ITガバナンス」と6つの原則
IT活用は今や企業戦略の中で不可欠となっています。
この観点から経営層には組織価値を高め、ITシステム戦略の策定や運用に必要となる組織能力である「ITガバナンス」が求められています。
その成功には、経営層が次の6原則を実践することが肝要とされています。以下、要約して紹介します。
- 責任:役割に責任を負う人は、その遂行権限を持つ
- 戦略:情報システム戦略は現在と将来を考慮して、そのニーズを満たす必要がある
- 取得: 情報システムの導入は短期・長期の両面で効果・リスク・資源のバランスを考慮した意思決定に基づく必要がある
- パフォーマンス:情報システムは現在および将来のニーズを満たす必要がある
- 適合:情報システムは関連する全ての法律および規制に適合する必要がある
- 人間行動: 情報システムのパフォーマンス維持に関わる人間行動を尊重する必要がある