情報セキュリティ投資に対する企業の意志決定

企業の情報セキュリティ障害は、長年築きあげてきた「信頼」を一瞬にして瓦解してしまうほどの大きな影響力を持つ。それゆえ、情報セキュリティ対策が企業の経営上の問題として重要視されている。特に、「情報」を直接扱う企業においては、細心の注意を払ってセキュリティ対策が講じられている。しかしながら、どの程度対策にお金をかけるべきか、ということに対する明確な判断基準が確立されていないため、情報セキュリティに対するリスクを認識しながらも、適切な情報セキュリティ投資がなされていないケースも多いのではないだろうか。
本稿では、情報セキュリティ投資が、一過性の費用ではなく「投資」としての性質が強く、適切な投資が企業価値を高めること、また、情報セキュリティ対策の組み合わせによってもその効果が異なることを、先行研究のサーベイを中心にレポートする。これらを通じて適切な情報セキュリティ投資の意志決定の一助となれば幸いである。