見出し画像

セキュリティ・ビジネス・モデルとは(前編)

情報システム部門(情報システム子会社)向け

本コラム前半では『企業経営で重要なガバナンスやセキュリティ対策』をコストと感じる意識や、その対策が『重要だ!』と知りつつも出費は抑える経営者の本音を分析します。また後半では、セキュリティ・ビジネス・モデルに仮説を立て、情報システム子会社の『セキュリティ対策の自給自足論』について分析します。

1. なぜ経営者は『企業経営で重要なガバナンスやセキュリティ対策』をコストと感じているのか

『企業経営で重要なガバナンスやセキュリティ対策』への予算を先行投資と考えず、できる限り出費を抑えたい『コスト』と感じることは一般的なことです。この『ガバナンスに対するコスト意識』の動向は企業経営において重要な要素です。また『重要だ!』と知りつつも出費は抑え、逆に経営者が得意とする(その企業の)専門領域に関し、彼は身銭を出してでも予算をつぎ込む意気込みがあります。

これは経営者が『ライバルや同業他社には負けたくない』あるいは『コロナから一早く復旧したい』という意気込みの表れです。また、『社員を育てればコーポレート・ガバナンス(以降、ガバナンス)や、セキュリティ対策もいつかは他社並みに到達する』と過信し、『(素人でも)要員が居れば、リスクや脅威に対しても迅速に対応できる』理念を持っているからに違いありません。

ただ、ガバナンスやセキュリティ対策、コンプライアンスは専門的な知識がいります。経営者は、社員を育てようにも経験を積むためのOJTへの投資や、予算を捻出して専門家を中途採用するなど、いざという時のために、リスク関連の予算を見積もっていないでしょう。これは「リスクに対して迅速に対応できない」という意思表示でもあります。そのため図1にあるような「担当者の悩み」に関して、専門的なリサーチやコンサルタントに調査を依頼していなかったはずです。結局の所、『有事の際は多額のコストを捻出して賠償や、謝罪、社内の体制変更、経営側の刷新(自分自身の退任)』を余儀なくされます。このコスト感覚こそが、経営者が気づかない『ガバナンスに対するコスト意識』です。

『企業経営で重要なガバナンスやセキュリティ対策』は、昨今の流行りのデジタル・トランスフォーメーション(備考1参照)のように周りから注目を浴びるものではありません。そのため、経営者にとりこのガバナンスは『予算』ではなく、いきなり『コスト』という意識に変わります。経営者は企業経営においてガバナンスを維持するには『できるだけ予算をかけず、むしろコスト意識を重要視して、いかにガバナンスを確立するかが腕の見せ所』と思うのは当然でしょう。

備考1・・・デジタル・トランスフォーメーション
(日本ではDXと説明される場合がある)
第1回 デジタルトランスフォーメーションの誕生を理解する--DX推進の原点 - (page 2) - ZDNet Japan

図1.『企業経営で重要なガバナンスやセキュリティ対策』での「担当者の悩み」

画像3

出典:ディルバート(2021年11月)

2. ガバナンスとセキュリティ対策をコストと感じる瞬間は

経営者が『企業経営で重要なガバナンスやセキュリティ対策』をコストと感じる瞬間はどのような時でしょうか。

●対策としてコストを払わなくて済めば、これに越したことはないはず
●特に外部に報告する必要もなく、自社で日頃からのガバナンスやセキュリティ対策に関して、担当者とうまく連携している
●これまで警察沙汰になったこともなく、メディアに謝罪や、逮捕された役員もいない。不良品や欠陥品の回収をしたこともない

このように経営者にとって『企業経営で重要なガバナンスやセキュリティ対策』をコストと感じている以上は、一連の『セキュリティ対策』は、無駄な投資なのかもしれません。実際、日本情報システムユーザー協会(JUAS)で調査した、年間の総IT予算に占める『情報セキュリティ関連の費用』の割合から解決するヒントが伺えます。これまでの筆者の仮説では、『どの企業もセキュリティ投資をコストと感じているから、予算は少ない』というものでした。

画像3

具体的には、上記の統計のように『企業がIT予算に占める情報セキュリティ関連費用の割合』は、
●売上高が1兆円を超える大企業であれば、情報セキュリティ関連費用の割合は、約5%未満と回答する企業が約30%(3割)あります
●一方、100億円未満の売上の中堅企業の場合は、『15%以上もセキュリティに投資』しています。つまり悲鳴を上げている企業は、43%(約4割)に上ります

この売上高に占めるセキュリティ投資の違いは何でしょうか?


3. 売上高により『セキュリティ投資』は、なだらかな上昇をする分けではなく、従業員規模に係わらず初期コストは「高い」

先の回答では、『中堅企業の場合は、『15%以上もセキュリティに投資』をしています。つまり『悲鳴を上げている企業は、43%(約4割)に上る』という事実がありました。『セキュリティ投資』に関しては、中堅企業は不利であり、コストが、ばかになりません。筆者の仮説では、『どの企業もセキュリティ投資をコストと感じているから、予算は少ない』と単純な結末でしたが、そうではなく企業経営者もそれなりに『企業経営で重要なガバナンスやセキュリティ対策』に投資する意欲はあり、見積りをとり、その上でコストが(特に中堅企業では)高いと思っているのではないでしょうか。それでは、中堅企業では今後、ガバナンスやセキュリティに対する予算をどのように確保して行くべきでしょうか。

図3. 大企業と中堅企業の『企業経営で重要なガバナンスやセキュリティ対策』に関するコスト感の違い

画像3

出典:ディルバート(2021年11月)

図3では、中堅企業の経営者がIT予算の15%以上がセキュリティ予算となり、理想と現実の認識(パズル)が合わない状態を示しています。

●理想:中堅企業ならセキュリティ投資も低くて済む
●現実:全くリスク評価をしたことがない中堅企業は、1からの投資となり「割高」

このように中堅企業には不利な結果が伺えます。筆者は、(特に中堅企業が中心の)情報システム子会社の経営層から過去似たような相談を受けています。それは、

『今後もセキュリティ対策として、それなりに投資をして行く必要があり、1年単発ではなく、数年は確実にセキュリティ対策に予算を引当てる必要がある。ただ、当社ぐらいの「中堅企業」(情報システム子会社)の場合、IT投資でも開発やインフラの年間投資だけもキツキツなのに、その中からセキュリティ対策の予算を捻出できないか?』という相談です。これは、中堅企業が『今後、ガバナンスやセキュリティに対する予算をどのように確保して行くべきか』ということでもあります。


4.予算を確保する(捻出する)のではなく、セキュリティを逆にビジネスとして収益源にできないか

情報システム子会社(備考2参照)であれば、親会社のデータセンターの管理、基盤としてネットワークやハードウェアの調達や予算管理、システムの開発などを受注してビジネスをしています。その中のサービスメニューとして、『ガバナンス、セキュリティ』を追加することにより、『ガバナンス、セキュリティ』への先行投資をする機会が得られます。次に同じことを親会社、グループ企業へもセキュリティ・ベンダー(コンサルティング、リサーチ)として、投資した分を回収しに来ます。これは、セキュリティに関して先行投資をし、その分、親会社やグループ企業からセキュリティ投資分を回収するビジネス・モデルです。

備考2 情報システム子会社
IT部門の「2025年問題」平均年齢は60代? IT部門が直面する現実と忍び寄る変化(ZDnet)

2025年のIT部門を作る、今後8年間の「行動計画」(ZDnet)


図4は、親会社やグループ企業から投資分を回収するビジネス・モデルです。

■1 情報システム子会社では、セキュリティのビジネスを構築するために、『セキュリティの専門家』を中途採用します。中途採用された専門家は、情報システム部の若手SEを教育します

■2 専門家から教育を受けた若手SEは、親会社の案件や、グループ企業の案件で、提案や現在のサービスの説明(障害報告)などを実施して、サイバー・セキュリティとの関連性を解説します

■3 案件が無事終了し、情報システム子会社側でも売り上げが立ち、次のスペシャリストを育成します

この3つの流れは、『理想的な情報システム子会社の収益モデル』です。是非、実践したい所ですが、2021年現在、ほとんどの企業が、どこでつまずいているでしょうか。

図4. 親会社やグループ企業から投資分を回収するビジネス・モデル『セキュリティ対策の自給自足論』

画像4

出典:ディルバート(2021年11月)

実は、1つ目の『セキュリティ専門家を採用する』という場面でつまずきます。

その原因は、
■(海外は特にそうであるが)セキュリティ専門家の年俸が高すぎて、情報システム部門の平均的な課長クラスの年俸では採用できない
■『セキュリティ専門家』が、極端に専門的過ぎて、情報システム部要員と会話ができない(交わらない、孤立している)。自社のシステムに興味がない。ベンダーSEや同業の人との交流を好む。この2点です。

例えば、後者の 極端に専門的過ぎて の部分を『小学校の校長』『大学の教授』『Sier(ベンダー)のSE』の3名に例えます。誰もが『大学の教授』や『Sier(ベンダー)のSE』の方が実績や専門的な知識の面で優れている、と思うでしょう。

しかし『小学校の校長』は、先生としてのナレッジやリサーチの経験が豊富で、父兄/教育委員会/他校との校長との接点、最後に小学校の生徒/教職員との接点があります。まざに、マルチプレイヤ的な存在です。この『小学校の校長』=マルチプレイヤ のスキルを図4の『セキュリティ専門家』は持っている必要があります。

つまり、情報システム部門として、取引先/各種メディア/役員会議、法務/人事/経営企画部、最後に情報システム部長などにも根気よく、『システム全般に、どのような影響があるのか?』セキュリティ以外の会話ができなければなりません。最後には役員会議で校長のように予算の稟議を説明するスキルも必要です。

ここで図4の『セキュリティ専門家に指導を受ける』場合、自社のシステムをほとんど知らない、外部のベンダーのような社員がCISO(備考3参照)の肩書で指導しているのが現実です。この「専門家を育てる前に、どのような専門家を採用するのか?」かが肝心な所であり、後編に続きます。


備考3 CISO (Chief Information Security Officer) 最高情報セキュリティ責任者
2008年に海外が来た用語。これまで、国内ではISMSの事務局のような「情報セキュリティ委員会の委員長」のような肩書(スキルセット)があった。当時CISOを海外では『営業マンのような』という表現で(筆者を含め)説明していが、日本では『営業マン』はあり得ないと反対の意見もあった。2017年になり、CSIRTのコマンダーという肩書(スキルセット)が必要となり、ようやく国内でも『セキュリティの専門家』のCISOはマルチプレイヤ的な存在であり、一方、サーバーセキュリティの専門家として、コマンダーのスキルと使い分け(用途分け)が可能となった。

<後編へ>
次回、2022年1月号では、この親会社やグループ企業から投資分を回収するビジネス・モデル『セキュリティ対策の自給自足論』 に関して深堀します。『小学校の校長』=マルチプレイヤ のスキルとして、例えば、コンサルタント/アナリストの職種。『システム全般でどのような影響があるのか?セキュリティ以外の会話』は、誰でもできるものなのか?自給自足をする場合、例えば、情報システム子会社のSEがこれまでのシステム・エンジニアから、コンサルタント/アナリストというタイトルに昇格できるのか。情報システム子会社では、『給与制度』に関して『出来高制(歩合制)』のような成功報酬型を一部取り入れる必要があるのか、が論点となります。

執筆者
石橋 正彦(いしばし まさひこ)
株式会社Dirbato(ディルバート)
コンサルティンググループ
ベリングポイントにてコンサルティングを経験し、ガートナーにてリサーチを経験、情報システム部門や情報システム子会社を経て現職。
趣味は歴史(日本語起源調査、百済史など)

いいなと思ったら応援しよう!