ITセキュリティ投資の評価

このページ内の目次

某大学の教授とITセキュリティ投資評価について意見交換をした。

①IT投資の中でもセキュリティ投資をどこまで実施するか、投資評価が困難である。

②セキュリティ対策を維持向上するためには、継続的なマネジメントが必要である。

などについて意見が一致した。

 

特にコスト削減や売上拡大などを目指したIT投資は、キャッシュフローを推定し正味現在価値(NPV)やROIにより投資評価できる。

しかしセキュリティ投資の多くは、キャッシュフローが改善するわけでもなく、各企業の業務プロセスやネットワークの利用形態、さらに従業員へのセキュリティ教育などの実施状況が様々であり、一概に評価することは困難である。

そこで、教授は不確実性を吟味する上で有効な手段であるリアルオプションに基づいて、実務的に利用可能な評価法を研究し、提案されている。

そのために数多くの事例を研究され、リアルオプション・アプローチに基づく評価法を検証されていた。

 

一方私は、ISMS(現ISO27000)主任審査員としての経験から、リスク評価の方法とITセキュリティ対策に向けたマネジメントあり方について提案した。

そして今後も、企業の状況に合った適切なセキュリティ対策に関する評価法とマネジメントのあり方を研究するために、様々な事例を集め意見交換することとなった。

 

リアルオプションとは、

正味現在価値(NPV)を中心とする伝統的財務評価を補う不確実性を加味した投資評価法である。

金融分野におけるオプションを現実の資本投資などに適用したもので、柔軟性の価値を評価できるという利点がある。

 

セキュリティ投資効果を数値モデルにより明確化する試みが提案されている。

スコット・ベリナート氏(2004)やアクセンチュア㈱などは、セキュリティROIと呼ばれる概念を提案し、伝統的なROIで評価される部分に損失回避による収益寄与分を合理的手法で加味すべきとしている。

また、ITベンダーと損害保険会社とが連携してセキュリティ対策システムとセキュリティ保険を一体で販売する動きも進んでいる。

いづれも、対象となる企業ごとにセキュリティ対策状況に応じて個別評価し、保険料率を算出している状況の様である。

 

 

トップに戻る

関連記事

前へ

バーチャルとリアルの境目

次へ

フロント業務におけるITと人間の融合

Page Top