突如として日本中から注目を浴びた八ッ場ダム。今年、戦後初めての完全な政権交代が行われ、民主党が与党となった。その民主党が財源確保を目的として建設の中止を検討しているダムである。その他、2009年年末にかけて来年度予算確保のための事業仕分けの検討が進められている。

一方で、今年はセキュリティ業界でも『合理化』の文字が躍った。内閣官房情報セキュリティセンターから『第2次情報セキュリティ基本計画』が2009年2月に公開されたのである。向こう3ヵ年は各業界、この方針でセキュリティをやろう！という計画である。その中に『合理性に裏付けられたアプローチの実現』という記述が追加されているのをご存知だろうか。

平たく言えば、費用対効果の高い対策を実施すべし、ということだ。米国などでは、これまでも費用対効果を重視した考え方は当然存在したが、日本の政府機関から指針として正式に公開されたのは始めてだ。今までは、インシデントに対する危機感から、とにかくセキュリティをやろう！という指針が強調されていたように思う。100万円の資産を守るために1億円掛けるのはナンセンスだ。100万円の資産を守るために1万円で済むのであれば、それは費用対効果が高い。この1万円は『コスト』ではなく、組織としての『投資』となる。

費用対効果の高い対策を実施するには、セキュリティ効果と費用のバランスを見極める必要がある。1万円の『投資』を『コスト』として見てしまい、一方的にセキュリティ投資を削減してしまうと、事故の発生を誘発したり、事故発生による影響が大きくなってしまう。まさにバランスが必要なのだ。

費用対効果の高い対策を実施するためには、セキュリティ効果を見極めるための知識と情報が必要である。セキュリティレベルをどの程度維持すべきなのかは、組織の規模や業態、社会的位置づけによって大きく異なる。コンサルタントによる支援は有効であるが、組織のことを考え、決定権を持つのは組織の人間であり、本人の知識と経験がモノを言う。そのため、求められる知識は情報セキュリティにとどまらず、自組織の業務知識や経営学にも至る。情報セキュリティに関して、何がコストで、何が投資であるのかを見極める力が必要だ。

まずは合理性を見極める努力をして欲しい。お金を掛けすぎているところ、セキュリティが足りないところ、それぞれが見つかるはずだ。日本政府も一方で、やみくもに公共事業を中止するのではなく、事業の必要性を見極めた上で、費用対効果の高い投資を進めて欲しいと願うところだ。

今現在、経済事情は上昇の兆しを見せ始めているとはいえ、回復にはまだまだ程遠い。このような経済事情を乗り切るためにも、セキュリティレベルを維持し、組織の合理化を目指したい。

• 次の記事：くも