« 「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」 | Main | 公正取引委員会 「談合企業必見! 自首の仕方」 »

2005.07.18

セキュリティ投資を考える (7) 最適セキュリティ投資ポイント

 こんにちは、丸山満彦です。一般にセキュリティ対策は、「許容リスクまで引き下がるまでセキュリティ対策を実施する」なんていわれていますが、その際の前提としてセキュリティ対策費用については考えていません。従って、セキュリティ費用はどの程度が一番よいのか分からなくなってしまいます。

 
 では、「セキュリティ費用を考えたモデルを考えることができないか」ということですが、それは可能です。
 
 最適セキュリティ対策は、Max{便益-(コスト+リスク)}となる点といえます。リスクは情報セキュリティ対策(コスト)をかければかけるほど減少することになります。しかし、その減少の仕方は、収穫逓減の法則により少なくなっていくでしょう。
 そこで、単純化するために

リスク=k/セキュリティ対策費用 (Risk=k/Cost)

 として考えることにします。

050718-01


 この場合、最適セキュリティ投資はCost=Riskとなる投資である、Xaの投資額が最適なセキュリティ投資ということになります。(Fig.1)


050718-02


 また、Max{便益-(コスト+リスク)}が常にマイナスとなるような場合、そもそもセキュリティ対策としては、回避しか選択肢はないことになります。(Fig.2)

 最適なセキュリティ投資を考える場合は、このようにして考えることもできます。あまり実務的ではないですが・・・。




このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」 | Main | 公正取引委員会 「談合企業必見! 自首の仕方」 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/5014457

Listed below are links to weblogs that reference セキュリティ投資を考える (7) 最適セキュリティ投資ポイント:

« 「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」 | Main | 公正取引委員会 「談合企業必見! 自首の仕方」 »