サイバーセキュリティ対策は、現代の企業に欠かすことができない“投資”といえる。必要なセキュリティ対策を怠れば、甚大な損失を被りかねないことは、過去の様々な事例からも明らかだ。ただ問題は、サイバー攻撃の脅威が日々増すなか、セキュリティ関連コストも増大する一方なことだ。
「セキュリティへの投資額は毎年増加しているのに、“安全だ”という実感はなかなか湧かない。これが、企業のCISO(最高情報セキュリティ責任者)の感覚だ」
ジュニパーネットワークスで技術統括本部 統括本部長を務める加藤浩明氏は、こう指摘したうえで、「事実、米ランド研究所と行った共同調査では、企業のサイバーセキュリティリスク費用は、このままいくと今後10年間で38%増加するという予測が出ている」と語る。
ジュニパーネットワークス 技術統括本部 統括本部長 加藤浩明氏
同社は2015年7月22日、米ランド研究所と協力して、企業のサイバーセキュリティ投資に指針を与えるための調査報告書「The Difender’s Dilemma: Charting a Course Toward Cybersecurity」を発表した。
ランド研究所の考えでは、サイバー攻撃による損害額も含んだ企業のセキュリティ関連費用が増大する要因の1つは、個々の脆弱性やセキュリティ製品の攻撃阻止率などばかりに重点が置かれ、「ビジネスの結果に与えるリスクという観点が未成熟」(加藤氏)なことにあるという。
すなわち、どのようなセキュリティ投資を行えば、高い費用対効果(ROI)を得られるか――という「防御のエコノミクス(経済学)」の欠如である。
そこでランド研究所は今回、サイバー攻撃による損失額とセキュリティ投資の関係性をモデル化。これに基づき、ジュニパーネットワークスでは、セキュリティ費用に影響を与える5つの主要因を挙げている。つまり、費用対効果の高いセキュリティ投資を行うために押さえておくべき5つのポイントというわけだが、以下、加藤氏の解説をもとに1つずつ紹介していこう。
