情報セキュリティ投資と経済効果

2011年7月22日に平成23年度版の警察白書が公表された。東日本大震災に多くのページが割かれているが、これと並んでサイバー犯罪に関する情勢やこれに対する警察の取組等も数多く紹介されている。白書によると、サイバー犯罪の検挙件数は増加の一途をたどっており、平成22年中は6,933件と、前年より243件（3.6%）増加し過去最多となった。また、不正アクセス禁止法違反についての情勢は依然として深刻な状況にある、としている。

企業にとっては、限られた予算の中でいかに効果的な情報セキュリティ対策を講じることができるかが問われているが、そもそも企業は情報セキュリティ対策にどれくらいの費用を支出しているのだろうか。経済産業省の「情報処理実態調査」からの推定値であるが、2007年度における売上高20億円以上の企業１社当たりの情報セキュリティ対策費用は1,300万円ほどで、情報処理関連費用に占める割合は1.4%となっている。業種によりかなりばらつきがあるため一概にはいえないものの、案外少ない感じがすることも事実である。ちなみに、独立行政法人情報処理推進機構によれば、2007 年度の日本の情報セキュリティ市場規模は、6,847 億円と推計されている。

情報セキュリティ対策費用の内訳をみると、全体として技術的対策の実施に要する費用の割合が低下し、組織的対策の実施、監視体制、評価といった組織、運用に係る費用の割合が増えている。情報セキュリティ対策が技術的対策から組織的対策や運用・評価にシフトしつつあることがうかがえる。

IT投資の経済効果に関しては、1987年にロバート・ソローが提起した、いわゆるソロー・パラドックスの検証、というかたちで1990年代に多くの実証研究が生まれた。その結果、IT投資に関しては、ハードウェアやソフトウェアだけではなく、人材育成等の目に見えない資産への投資が重要である、というコンセンサスが得られているが、情報セキュリティに関しても同様に、技術的対策以外の組織的対策等の目に見えない資産の重要性が認識されてきていることになる。

情報セキュリティにも、その効果を経済学の視点から分析するセキュリティエコノミックスと呼ばれる研究分野がある。そこでは、企業はなぜ情報セキュリティ投資を行うのか、という情報セキュリティ投資の経済的なインセンティブに関する研究が行われている。セキュリティエコノミックスは1990年代後半から散発的にいくつかの研究がおこなわれてきたが、2000年代に入り、組織的、体系的な研究が進められつつあり、情報セキュリティ投資を考える上で参考になるいくつかの成果もでてきている。たとえば、これらの研究の中でもエポックメイキング的な研究の一つである、L.A.GordonとM.P.Loebの研究（注１）では、一定の仮定を置いたうえであるが、ある種類の情報を対象に、これを保護するために必要な最適な投資額は何か、という問いに対して経済モデルを援用することにより一つの答えを出している。

企業には自然災害への対応も含めた、広い意味でのITリスクへの対応が求められているが、対応すべき課題は広く、かつ深くなってきている。また、情報セキュリティ投資の最適解は個々の企業のおかれた立場、経営方針により異なる。限られた予算制約のもと、情報セキュリティ投資の最適解を如何に見つけ出し、効果的な情報セキュリティ対策を講じていくかが問われている。情報セキュリティ投資のコストパフォーマンスを向上させるためにも、情報セキュリティと経済学の学際的な研究領域であるセキュリティエコノミックスの更なる発展に期待したいし、また、私たちもこれらの成果を十分に吟味し、使えるアイデアは使っていきたいものである。