オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

セキュリティへのコストパフォーマンス間違ってない?【必要性 】+費用対効果

»

コストパフォーマンスとは、そのまんま「費用に対する効果」です。しかし本質は「何をどうしたいか?」が実現出来ている策を講じた、必要性+費用対効果のはずです。

単にコストパフォーマンスで計れるもの、例えばコピー機のリース代やランニングコストなどは、量に応じて割れば明確な数字ははじかれます。セキュリティも禁止対策などは、禁止できた数が結果として出てきますが、その禁止が本当に必要だったのかとか、本来の業務に支障が出ていないか?など、セキュリティのためのセキュリティになっていませんか?そんな例をたくさん見てきました。

セキュリティのためのセキュリティって、これほどバカなことはないでしょう。

 

セキュリティ製品のコストの常識を疑えASCII.jp情報システムより

セキュリティ製品のコストを抑えるコツとは?

 コスト削減が高らかに謳われる昨今だが、情報セキュリティにかけるコストはキープするという企業も多い。とはいえ、無尽蔵に予算があるわけではないので、効率的な投資が必要だ。元来、セキュリティ製品は高度な暗号や認証技術、信頼性や精度の高いソフトウェアなどで実現されているため、コスト的に高くなりがちだ。また、セキュリティ製品は、単に導入するだけでは正しく効果を発揮できない。最新の脅威に対抗したり、パフォーマンスを落とさないようにするためにはサブスクリプションやコンサルティングなどのコストも考えなければならない。

技術面のセキュリティ対策でカバーできるモノならば、やったほうがイイです。人間のミスを多少なりともカバー出来るならば、なおさら必要だと思っています。人的な対策においても同じです。

しかし、コストパフォーマンスの計り方が間違っているように思えることが多くあります。

セキュリティに対するコストは、プラスの利益を生みません。効果は、何もなくて当たり前!なのです。効果に期待することは、マイナスを生まないことです。いまさら説明するまでもありませんが、事故が起きた場合の相当なコストは、言うまでもありません。

じゃあ、セキュリティにコストパフォーマンスはない。のではありません。コストに見合うパフォーマンスに必要性が見いだされてないだけです。本当にそれって必要ですか?と。。。

パフォーマンスに必要性を加味すれば、意味のないものや、セキュリティのためのセキュリティが見えてきます。他でもやっていますから。。。とか、今どきはどこでもやっていますよ。。。など、日本人が大好きな横並びなセキュリティが行われています。

グローバルスタンダード?どれほど、海外でスタンダードなモノでも、日本でそれが馴染むかは、別な話です。文化も風土も違うのですから。。。各企業の文化も風土も、国内だけでも全然違うものです。なのに、形にはまったことを行っても、実態に即していません。

ここにある大きな問題は「必要性」の計り方も、判断基準も、モノサシも持っていないことです。なので、セキュリティのためのセキュリティになってしまうのです。この計り方に決まりはありません。それぞれ違うのです。単一な基準があるように思われていますが、奥が深い部分なのです。

在り来たりのセキュリティの組み合わせで十分に可能なのに、ワインのソムリエのような「セキュリティ」を選べる人がいません。

セキュリティの間違った認識、ちゃんと考えなければ、パフォーマンスは「ネガティブ」な方向に行ってしまいます。マネジメントの関与が必要な時期に来ました。

Comment(2)