セキュリティ対策費を確保するならリスクベースで語れ：セキュリティ強化塾（2/4 ページ）

「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。

[キーマンズネット]

ボードゲーム「リスク」が教えてくれるもの

　「皆さんは『ブラックホーク・ダウン』という映画を見たことがあるでしょうか。その中で、『誰も置き去りにしない、知っているだろう？（No man left behind, you know that.）』という象徴的なせりふがあります。しかし、デジタルセキュリティの世界では、時と場合のよっては置き去りにせざるを得ないこともあるのです。それをどのように、あらかじめ警戒しておくかが重要です」とウォーリー氏は切り出す。

　軍事の格言や考え方は、ビジネスにも適用されることが多い。そしてスキルを付けるためには映画やゲームなどは有用だ。

　ウォーリー氏は「リスク」というボードゲームを例に出す。これは世界地図を模したボード上で、複数の参加者がそれぞれの軍隊を指揮し、他国を侵略したり、自国の領土を死守したりするゲームだ。軍隊を攻撃だけに使うと防御面が弱くなり、他国から侵略されるきっかけとなり得る。持っているリソースを侵略、防御にどう割り振りし、補給をどのようにバランス良く行えるかが勝利の鍵となる。

　ボードゲームのリスクでは、勝者には4つの戦略がある。それは「持っている領土を守る」「敵の攻撃力をそぐ」「攻撃面となる国境を最低限に抑える」「領土の周りにバッファーゾーンを作る」というものだ。実は、これがITセキュリティ戦略と似ているとウォーリー氏は語るのだ。持っているものを守り、それを取られることを防ぐ、攻撃表面を減らす。確かに、これは今日いわれているセキュリティ対策と同じだ。

キャンディス・ウォーリー氏

ROIを下げてでもコアを守るということ

　リソースを長期的に重要な場所に集中させることにより、場合によっては何かを置き去りにし、何かを失うこともある。これはセキュリティ対策に関わる者にとって厳しい現実かもしれない。しかし軍事戦略家にとっては、それでも「本当に守るべきものを守る」というミッションを果たすために重要な選択である。

　何を失ってはならず、何を失っていいのか。この戦略を決断することこそが、リスクを理解した投資の鍵になる。そして、このような投資を行うためには、経営陣の考え方も変えなくてはならない。

　通常、このようなリスクを軽減する際には、マネジメント部門はプロセスやツールの導入による「投資対効果」や「効率」といったキーワードを考える。しかし、企業全体のリスクを下げることができるのならば、投資利益率（ROI）を少し下げることもいとわないというように、会話の内容を変えなくてはならない。

　そのためには、まず、どのような攻撃があるのか、自社内にどのようなデジタル資産があるのか、それぞれの標的に対してリスク強度はどの程度あるのか、そして確実に守らなければならないものは何かなどを把握しなければならない。その上で「セキュリティにここまで投資をしたら、全体のサイバーリスクがこれだけ下げられます」というアプローチが必要なのだ。