GDPR

データ・セキュリティーにまつわる失敗: ROI の数値化をしないという問題の解決

2018-07-26

カテゴリー GDPR

記事をシェアする:

この数カ月、私たちはさまざまな観点からデータ・セキュリティーにまつわる失敗について論じてきました。
1 月には、コンプライアンス重視のセキュリティー、一元化されたデータ・セキュリティーの欠如、データ活動の取り組みが不十分であること、などの課題に焦点をあてて、お客様がよく経験する、しかしながら回避することもできる 5 つの失敗について検討しました。
またその 2、3 カ月後には、間近にせまった一般データ保護規則 (GDPR) の施行開始日に合わせて、包括的な検知/分類機能が欠如していること、データ・セキュリティー・ソリューションと他のセキュリティー・ツールがうまく統合できていないこと、など3 つのデータ・セキュリティーの落とし穴に関する調査を行いました。完璧なデータ・セキュリティー・システムを構築することは、その過程で多くの障害物が存在する困難な目標であると言えます。

データ・セキュリティーのジレンマ

拡大する脅威、ますます複雑になる規制環境、さらにはビジネスの成功におけるデータの重要性の高まりにより、セキュリティー専門家は日々データ・セキュリティーがいかに大切かということを痛感しています。IBM の X-Force 脅威インテリジェンスの指標 2018 で述べられているように、内部脅威などの課題が増えつつあり、データにより近い場所でセキュリティーの管理設定を行うことが、内部者の不注意による過失と悪意のある内部者の犯行両方に対する有効な手段となってしまっています。EU およびそれ以外の国々で近い将来施行される規則においても、データ・セキュリティーの重要性が脚光を浴びています。多くのチームがコンプライアンスへの対応準備に追われていますが、特定の規則への準備期限が過ぎても、組織はその先何年もコンプライアンスを継続していく必要があることを念頭に置くべきです。つまり、規則の施行後も、ジャーニー（セキュリティー対策の旅）は続くのです。
ビジネスを成功させるには、データは必要不可欠です。ある経済誌は最近、データを“世界で最も金銭的価値の高い天然資源、つまり新たな石油のようなものだ”と表現しました。

データ・セキュリティー・ソリューションの ROI の数値化

データ・セキュリティーは、デジタル・テクノロジーを活用して事業を行う企業にとって不可欠であるばかりでなく、非常に扱いづらいものです。データをこのように扱いづらくしている一因は、データは動的で、分散されており、頻繁にアクセスされるという、本来の性質にあります。データは常に変化、増加、移動を繰り返し、多くの新しい方法でやり取りされるため、その管理は非常に困難です。さらに、データは常に使用可能な状態を保ち、多様なフォーマットでアクセス可能にしておく必要があります。そのために多くの組織は、データ・セキュリティーに対して、できる限りデータに近い場所にセキュリティーの管理を設定する、ゼロ・トラスト・アプローチの採用を推奨しています。
組織がデータ・セキュリティー体制の向上に取り組む場合、人、プログラム、テクノロジー・ソリューションの観点から課題にアプローチする必要があります。その結果、もう 1 つの大きな問題、つまりデータ・セキュリティー・ソリューションが企業にもたらす利益を数値化できていないという問題が露呈してきました。
エンタープライズ・ソフトウェアを購入する度に、データ・セキュリティー・ソリューションが組織に影響を与える領域を特定し、その影響を金額に変換する方法を明示する必要があります。そのため、以下の点を明確にしなければなりません。

十分な ROI を得られるのか
回収期間はどのくらいか
このソリューションは設定した目標を達成するのに本当に役立つのか
セキュリティー・ベンダーとの信頼関係はあるのか
IBM Security Guardium が企業に与える経済的な影響 (Total Economic Impact）

お客様がこれらの点を明確化する際に役立つよう、IBM は最近 Forrester Consulting 社に企業に与える経済的な影響（Total Economic Impact ：TEI）の調査を委託しました。この調査では、IBM Security Guardium を企業の全体的なデータ・セキュリティーとコンプライアンス戦略の一部として導入することによって企業が実現できる潜在的な ROI が分析されました。
調査プロセスの一環として、Forrester 社は IBM Security Guardium 導入前に以下のような複数のデータ・セキュリティーやコンプライアンスの問題に直面した経験のある、現在はすでにGuardium を導入済みの数社のお客様との面談を実施しました。

規制要件とコンプライアンス要件を遵守する必要性
組織内でのセキュリティー/コンプライアンス/データ・プライバシー戦略への取り組みを強化する必要性
セキュリティーに関して状況の変化に対応するのではなく、よりプロアクティブに対処したいという要求
データのセキュリティー管理を広範で多様な環境およびプラットフォーム全体に拡張する必要性
自動化をより効果的に利用する必要性
コンプライアンスにとどまらず、真にセキュアになりたいという要求

これらの面談を基にして、Forrester 社は、TEI フレームワークおよび複合組織を作成し、関連する ROI 分析により、財務的な影響を受けた分野を明確にしました。調査の終了にあたり、Forrester 社は、「IBM Security Guardium はお客様が上記の課題を解決するのに役立ち、全体としてお客様に大きな利益をもたらした。」と結論付けました。
調査の対象とした組織では、IBM Security Guardium の導入により、以下のような驚くべき結果を確認することができました。

ROI: 343%
全利益: 3,300 万ドル
回収期間: 6 カ月未満

この結果は、Forrester 社が複数のお客様との面談内容を収集・編集することによって作成した複合組織を基にしています。貴社でデータ・セキュリティー・ソリューションを検討し、そのソリューションが企業にどのように影響するのかを調べるためには、これらのメトリックも考慮する必要があります。
IBM Security Guardium の TEI および貴社のデータ・セキュリティー・ソリューションがもたらす結果の数値化の詳細についてご興味はありませんか?

Guardiumによるコスト削減とビジネス効果(日本語)をみる

本記事はEpic Fails in Data Security, Solutions Edition: Failure to Quantify Your ROIの抄訳です。