« 総務省 自治体間でネット侵入監視・改ざん防止システム構築 | Main | 電気通信事業者協会 「発信者番号偽装表示対策ガイドラインの策定について」を公開してもガイドラインは非公開 »

2005.07.04

セキュリティ投資を考える(2) 収穫逓減の法則

 こんにちは、丸山満彦です。ある人に、「データの暗号化ソフトの導入はやっぱりしたほうがよいですかね・・・」ときかれたことがあります。「持っている資産価値に依存しますね・・・」というのが、大半の人の回答だと思います。「それは事業戦略にもよるよ・・・」という回答もあるでしょうが、それだけでも無いです。ということで、今回は「収穫逓減の法則」です。

 
 確かに、事業上漏えいをしては困る重要な情報を持ってる企業ほど暗号化ソフトの導入効果は高いと思います。でも、それだけでもないです。

 「投資効果は既に導入しているセキュリティ対策のレベルにも依存する」 からです。事例で考えてみましょう。

【事例】
まったく同規模、同業態のA銀行とB銀行があります。両銀行とも同一のシステムを利用していますが実装している機能だけが違います。

A銀行は顧客の預金口座について多段階のアクセス制御を行った上で、定期的にアクセスログの確認を行っています。
B銀行は顧客の預金口座についてアクセス制御はまったく行われておらず、ログの確認も行っていません。

 さて、今から暗号化ソフトを導入するとすればどちらが一般的には導入効果が高いでしょうか?

====

 技術的な細かい議論(対策の依存関係など・・・)を抜きにすれば、既にかなりのセキュリティ対策を実施している企業に新たに追加のセキュリティ対策を入れる場合の効果と、まったくセキュリティ対策を実施している企業に初めて導入するセキュリティ対策では、同じセキュリティ対策をするとしても投資効果は異なります。
 
 生産要素の投入量と産出量の間に一般的に成り立っていると考えられるのが、「収穫逓減の法則(law of decreasing return)」です。複数の生産財の一つを除いた生産財の投入量を一定にした場合、投入量を1つ増加することによって得られる産出量は投入量が増加するにしたがって減少していくという法則です。(上記の例は正確には、収穫逓減の法則と異なるかもしれませんが、だいたいのイメージということで・・・)

 セキュリティ対策の実施(投入量)とその効果(産出量)の間にも一般的には成り立つでしょう。
参考として、せきゅりてぃ対策費用とその効果の対応曲線の例を示しておきます。この図では、はじめの投資部分でも投資効果が低いように描かいていますが、特に意味はありません。

050704-01


 
 
 
 
 
 
 
 
 
 

050704-02

セキュリティ対策を実施すれば効果がでることには違いがないのですが、一定規模の対策を実施した後は、セキュリティ対策あたりの効果は少なくなっていきます
 


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 総務省 自治体間でネット侵入監視・改ざん防止システム構築 | Main | 電気通信事業者協会 「発信者番号偽装表示対策ガイドラインの策定について」を公開してもガイドラインは非公開 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/4808694

Listed below are links to weblogs that reference セキュリティ投資を考える(2) 収穫逓減の法則:

« 総務省 自治体間でネット侵入監視・改ざん防止システム構築 | Main | 電気通信事業者協会 「発信者番号偽装表示対策ガイドラインの策定について」を公開してもガイドラインは非公開 »