ガートナーの長谷島さんの本「変革せよ!IT部門」を読んで、事業会社におけるセキュリティの位置づけが少し進んだ。
事業会社におけるセキュリティとは、果たして何なのだろうか。
対策を怠ると機密情報が流出したり、企業のブランドイメージを毀損する等に繋がる一方で、セキュリティに投資をしても売り上げ増には繋がらない。
となると、コストに位置付けられる。
頑張ってもCSR(企業の社会的責任)強化程度の説明にしかならない。
一方で、このセキュリティをITガバナンスの一部としてみると、少し景色が変わってくる。
ITガバナンスとして俯瞰するとセキュリティはJ-SOXやIFRSと同列のものとして出てくる。
J-SOX対応やIFRS対応をコストだからと言ってケチる経営者はいるのだろうか?
セキュリティもJ-SOXやIFRSと同様の統制強化の一環として取り組めば、コスト云々の苦行から脱することができるのではなかろうか?
ただ、J-SOXやIFRSはある程度のゴール設定があるのに対して、セキュリティはDXの一部でもあり、明確なゴールは設定できない(正確には設定しても時間の経過とともに変わってしまう)。
そうなると、アプローチとしては「やるべきこと」をまずは洗い出し、優先順位を立てて絞り込んでいく流れとなる。
絞り込みのアプローチの一つとしては、原資を明確にすることである。
セキュリティの原資はIT予算における比率で計算する。
で、IT予算はどう計算するのかというと、企業の売上高から計算する。
例えば、売上高1,000億円のA社があるとする。
一般社団法人日本情報システム・ユーザ協会(JUAS)の調査によると、金融業界のIT 予算(19年度)はトリム平均で売上高の1.28%となっている。
まず、ここから適切なIT予算を試算する。
1,000億円x1.28%=12.8億円
次に、このIT予算からセキュリティ対策の原資を試算する。
JUASの調査によると、 IT 予算中の情報セキュリティ関連費用割合は、15%以上と 5%未満の高低 2 極に分かれる傾向にあるので、15%のケースと、平均して10%のケースで試算してみる。
15%のケース:12.8億x15%=1.92億円
10%のケース:12.8億x15%=1.3億円
これで、セキュリティ対策の原資が出せたので、「やるべきこと」の優先順位を踏まえて対策の予算化を行う。
これは、IT予算からの算出アプローチだが、同様に売上高に占めるJ-SOX対応やIFRS対応のコストと比較しながらセキュリティ対策の原資試算を行ってみてもいいかもしれない。
【参考】
企業IT動向調査報告書2020(一般社団法人日本情報システム・ユーザ協会(JUAS))