某大学の教授とＩＴセキュリティ投資評価について意見交換をした。

①ＩＴ投資の中でもセキュリティ投資をどこまで実施するか、投資評価が困難である。

②セキュリティ対策を維持向上するためには、継続的なマネジメントが必要である。

などについて意見が一致した。

特にコスト削減や売上拡大などを目指したＩＴ投資は、キャッシュフローを推定し正味現在価値（ＮＰＶ）やＲＯＩにより投資評価できる。

しかしセキュリティ投資の多くは、キャッシュフローが改善するわけでもなく、各企業の業務プロセスやネットワークの利用形態、さらに従業員へのセキュリティ教育などの実施状況が様々であり、一概に評価することは困難である。

そこで、教授は不確実性を吟味する上で有効な手段であるリアルオプションに基づいて、実務的に利用可能な評価法を研究し、提案されている。

そのために数多くの事例を研究され、リアルオプション・アプローチに基づく評価法を検証されていた。

一方私は、ＩＳＭＳ（現ＩＳＯ２７０００）主任審査員としての経験から、リスク評価の方法とＩＴセキュリティ対策に向けたマネジメントあり方について提案した。

そして今後も、企業の状況に合った適切なセキュリティ対策に関する評価法とマネジメントのあり方を研究するために、様々な事例を集め意見交換することとなった。

リアルオプションとは、

正味現在価値（ＮＰＶ）を中心とする伝統的財務評価を補う不確実性を加味した投資評価法である。

金融分野におけるオプションを現実の資本投資などに適用したもので、柔軟性の価値を評価できるという利点がある。

セキュリティ投資効果を数値モデルにより明確化する試みが提案されている。

スコット・ベリナート氏（２００４）やアクセンチュア㈱などは、セキュリティＲＯＩと呼ばれる概念を提案し、伝統的なＲＯＩで評価される部分に損失回避による収益寄与分を合理的手法で加味すべきとしている。

また、ＩＴベンダーと損害保険会社とが連携してセキュリティ対策システムとセキュリティ保険を一体で販売する動きも進んでいる。

いづれも、対象となる企業ごとにセキュリティ対策状況に応じて個別評価し、保険料率を算出している状況の様である。