リスクを成長機会へと変えた4つのセキュリティ投資事例 ~守りから攻めへ~

時金

サイバー攻撃や情報漏洩のリスクはいずれの企業にも存在しているが、セキュリティ対策は利益を直接生むものではないため、セキュリティ投資を控える経営者・情報システム部もある。しかし、セキュリティ対策は業務改革等の「攻め」の投資と捉えなおすことで、より高い効果を上げることができる。本記事ではセキュリティのリスクを成長への機会と変えた4つの事例を紹介する。

1.意思決定迅速化の事例

モバイル端末は外出先から社内システムへ接続するなど、使う場所を選ばないため、社員の生産性を向上させる。一方で、紛失や盗難などのデータ漏洩リスク、リスク教育にかかる工数、パスワード入力やデータ暗号化などの手間などがあり、モバイル端末の導入には課題もある。

農業支援を行うA社は各営業所が各県にまたがっており、営業員が数日から一週間、オフィスを空けることもあったため、モバイル端末への期待が高まっていた。A社が導入したモバイル接続システムでは、タブレット端末から社内システムへ安全にログインできるようになり、セキュリティリスクを抑えながらも営業員を支援することができる。タブレット端末を遠隔地から使用停止するリモートロックや、未登録の端末から社内システムへの接続を防ぐ機体認証機能などの付加的な仕組みもあり、システムの信頼性を高めた。

セキュリティ投資の効果は意思決定のスピード化という効果も生んだ。以前は営業部のマネージャーが一週間外出していると、承認や稟議が滞ってしまう問題が起きていたが、安全なタブレット端末の導入により、承認が迅速化されたのだ。セキュリティ対策がリスクの回避のためだけではなく、経営のスピード化にも寄与した例と言えよう。

【「守り」と「攻め」の観点で見たセキュリティコストの内訳】【「守り」と「攻め」の観点で見たセキュリティコストの内訳】

2.事業継続性向上の事例

セキュリティ対策においてはTCO (Total Cost of Ownership)の考えが欠かせない。TCOはある資産に対する購入から廃棄に至る全工程に要する時間と支出の総計を指す。初期投資額に注目してしまい、長期的なTCOを見誤ってしまうのは、よくある間違いだ。セキュリティ対策では、ある個所では表面上のコスト増加を受け入れた方がTCOを削減できるケースがある。

国内数か所にオフィス・工場を持つB社は、約1000台のコンピュータを仮想デスクトップへと置き換えることを決定した。仮想デスクトップとは各端末ではアプリケーションの管理やデータの保存を行わず、専用サーバーに接続してコンピュータを利用する仕組みだ。端末の盗難・紛失による情報漏えいリスクの低減等がメリットになる。

仮想デスクトップは、一台当たりの年間費用に換算すると、通常の端末に比べて数千円ほど高い。しかし、B社の情報システム部では数千円の表面的なコストが増加しても、TCOが削減できると判断した。具体的には、データが中央ストレージで集中管理されるため、セキュリティ対策を一か所に実施すればよいことになり、作業工数と費用が低減される。また、仮想デスクトップの導入により、端末の故障対応工数の減少や社員の利便性・生産性の向上が見込める。特に、在宅勤務が促進されることで災害・感染症流行時の事業継続性向上に寄与した。

3.業務改革の事例

セキュリティ対策は利便性とのトレードオフになることが多い。ユーザー部門において、複数のID・パスワードを管理することで煩雑さが増したり、複雑なルールが理解できずに情報システム部門に問い合わせる時間が取られ、業務時間が奪われたりするケースもある。情報システム部門でも、運用ルールを正確、かつタイムリーに徹底するために多大な工数が割かれてしまう。

トレードオフと考えられていたセキュリティ対策と利便性の問題を同時に解決したのが、インフラ関連事業を展開するC社だ。社内システムに「誰が、いつ、アクセスしたのか」を記録するためのID管理情報基盤を刷新し、アクセス制御の強化とID管理プロセスの見直しを行った。これまで人手で行われていた異動・休業・退社といった人事イベントの管理は、システムが全て管理できるようになったのだ。

このシステム刷新・業務改革は30%もの運用コストの削減をもたらした。ユーザー部門ではパスワード再設定の簡便化等により、システム対応に要する時間が削減されている。また、人事イベントがタイムリーに反映されるため、組織改編時の作業中断がなくなった。加えて、情報システム部門では、人事イベントの設定作業が完全に自動化されたため、作業工数が減ると共に、手作業でのミスが起こり得ないことになる。

退職した社員や外部委託スタッフのIDが情報漏えいに用いられることがあるため、ID管理の自動化はセキュリティ向上に大きく寄与している。セキュリティ対策は業務改革の契機でもあるのだ。

【場当たり的な対応から戦略的なセキュリティ投資への変遷】

【場当たり的な対応から戦略的なセキュリティ投資への変遷】

4.最新情報導入の事例

セキュリティ対策は悪意のある侵入者との『いたちごっこ』だ。一つの対策を講じるたびに、それを破る方法が編み出されてしまう。最新のセキュリティ対策の方法を活用するために、世界中の専門家の知恵を社外から集めたほうが効率的ではないか。その考えに基づき「バグ報奨金プログラム」の制度が普及しつつある。

世界的なソフトウェア企業のD社はセキュリティ上の問題やそれに関連する不具合等を見つけたセキュリティ研究者に報奨金を支払うことを発表した。発見した不具合の深刻度に応じて報酬の金額が上下し、さらに修正プログラムを提供すれば追加の報酬が支払われる。自身の知識・スキルを披露しながら収益を得られる機会になるので、世界中のセキュリティ研究者が腕をふるってきた。D社によると、バグ報奨金プログラムの参加者は、社内で雇用した開発者よりも多くの不具合を発見したという。

バグ報奨金プログラムはコスト面でも成果を上げた。D社は数千万円の報酬をバグ報奨金プログラムに支払っているが、セキュリティ研究者一人分を雇用する場合に要する総費用と大きく変わらない。解決した不具合から発生したかもしれないセキュリティ被害が防げたことも考慮すると、少ないコストで多くの不具合が解決できるバグ報奨金プログラムの費用対効果は絶大だ。バグ報奨金プログラムは主にソフトウェア企業やインターネットサービス企業で導入が続いている。

最後に

経営改革の秘訣として「危機は良き友。時間はライバル」という言葉がある。セキュリティ投資も同様であり、セキュリティ上の危機と良い関係を築き、成長の機会と捉える考え方が求められる。さらに、アウトソーシングや外部の専門家を活用することで、時間を先取りすることができる。セキュリティの強化と同時に、生産性向上・事業継続性向上・最新スキル導入などの効果を上げるのが、これからのトレンドとなるだろう。

 

編集:ビジネスon IT運営事務局(セキュリティ班)

Pocket

コメント