"セキュリティ投資"は"投資"か？を本気で考える

はじめに

「企業はサイバーセキュリティへの投資を増やさなくてはいけない」
「サイバーセキュリティへ投資することが企業の成長にとって重要である」
「サイバーセキュリティはコストではなく投資」

こんな言葉を目にしたことがある人は多いのではないだろうか。

何年も業界に携わる中で、こうした言葉を繰り返し見聞きしてきた。

そしてその度に「サイバーセキュリティは本当に投資なのか？」という問いを自分に投げかけてきた。

そして結局答えにたどり着かず、眠りにつき、朝になるとそんな悩みを持っていることすら忘れ、サイバーセキュリティの業務に勤しんできた。

今日は筆者がこれまで何度も何度も自問自答してきた結果を書き記したいと思う。

この記事を書き始めた時点ではどのような結果になるのか私自身もわかっていない。

誰かに読んでもらいたいというより、自分自身の思考整理のための記事ともいえるかもしれない。

対象読者

とはいえ、Qiitaというオープンなプラットフォームにこの記事を投稿しているため自分のメモではない。

この記事はセキュリティ投資というワードに一度でも違和感を抱いた人に向けている。

• 私と同じ違和感を抱いた人が多いのではないか

• 深く考えず「セキュリティ投資」という言葉を使っている業界人が多いのではないか

この2つの思いからあえてオープンな場に書き記すこととした。

特定の個人や組織を批判することを意図していません。またこの記事を理由に特定の個人や組織に批判が集中することも望んでいません

セキュリティ投資は本当に投資か？を本気で考える

この記事では、結論→理由という構成は取らない。代わりに、「セキュリティ投資」という言葉が使われるようになった背景を考察し、「投資」という言葉を厳格にとらえた上で「セキュリティ投資」の用法を考える。最後に筆者の私見を述べる構成とする。Qiitaの仕様上、結論に飛ぶこともできるがぜひ通しで読んでほしい。

どのような文脈で利用されているのか

用法① ： サイバーセキュリティはコストか、投資か？ - ZDNET

記事タイトルの通り、コストと投資を対比した上で、サイバーセキュリティに関する費用がどちらに分類されるかを論じているように読み取れるタイトルである。以下のような言及があり、利益を生み出さない＝コストという論理構成が取られている。

一般的には「利益を生み出さないサイバーセキュリティはコスト」と考えられることが多い。コストセンターで発生する費用は、利益を高めるために最小限に抑えることが求められており、セキュリティ対策の費用の抑制が求められるのも理屈としては当然だ。

語弊がないように補足しておくとこの記事は「セキュリティ＝コスト」と決めつけているのではなく一般論としてこういった論調があるという文脈で上記の記載がなされている

用法② ： サイバーセキュリティ経営ガイドライン - 経済産業省/IPA

経済産業省/IPAが発行しているサイバーセキュリティ経営ガイドラインでは以下のような記述がなされている。要はセキュリティ費用は、企業が潜在的に抱えている損失を回避するという特性から、投資性（利益を生み出す）があるということである。

サイバーセキュリティ対策は「投資」（将来の事業活動・成長に必須な費用）と位置付けることが重要である。直接的な収益を算出することは困難ではあるが、企業の価値を維持・増大していく上で、企業活動におけるコストや損失を減らすために必要不可欠な投資であるとともに、サイバーセキュリティリスクを組織の経営リスクの一環として織り込み、その観点からサイバーセキュリティリスクを把握・評価した上で対策の実施を通じてサイバーセキュリティに関する自社が許容可能とする水準まで低減することは、企業として果たすべき社会的責任であり、その実践は経営者としての責務である。

用法③ ： ｢守り｣から｢稼ぎ｣へ！セキュリティ投資を利益に変える【プラットフォーム化】でROSIが116％、｢脱・コストセンター｣を実現させるステップ - 東洋経済

セキュリティソリューションを統合することにより、最小限のコストで最大のセキュリティ対策を行える、すなわちビジネス変革やデジタル革新のためにリソースを確保できるという論調である。
ベンダーの営業/マーケティング資料で利用されるケースはこの使い方が多いのではないだろうか。

プラットフォーム化によって、それまで重複していた作業がなくなり、セキュリティチームの作業負担が軽減すれば、ビジネス変革やデジタル技術革新のためにリソースを確保することができる。

考察

"セキュリティ投資"が利用されるコンテキストは以下のように分類することができる。
①は②や③と若干重複する部分もあるが、その点は一度無視して読み進めていただきたい。

厳格な言葉の定義からの分析

ここまで読み進めてきた方なら同じことを思っただろう。「そもそも投資ってなに、、、？」と。
"セキュリティ投資"の意味の本質を理解するためには投資とはそもそも何なのかを適切に理解する必要がある。

"投資"の意味

デジタル大辞泉

１ 利益を得る目的で、事業・不動産・証券などに資金を投下すること。転じて、その将来を見込んで金銭や力をつぎ込むこと。「土地に投資する」「若いピアニストに投資する」

精選版 日本国語大辞典

① 事業に資金を投入すること。出資。また、利回りを考えて、株券、債券などの購入に資金をまわすこと。
② 工場・機械や、原料・製品の在庫品などの資本財の年々の増加分。

改訂新版　世界大百科事典 「投資」の意味・わかりやすい解説

将来得られるであろう収益を目的として，現在資金を支出することを投資という。

ブリタニカ国際大百科事典

将来の収益増加の期待から生産能力を増加させること。また広義には収益を期待して資金を支出することもいう。投資の主体はおもに民間の企業である。投資は一国の経済全体のダイナミックな運動を引起す重要な要因である (→設備投資 ) 。投資は一般に (1) 商品への需要増加が見込まれる，(2) 賃金の上昇が，より労働節約的な生産方法の採用を有利にする，(3) 従来よりも効率の高い生産方法が発明され，あるいは新製品が開発された場合に行われる。

引用元：コトバンク

考察

各辞典の内容から投資には広義の投資と狭義の投資が存在すると解釈することができる。
具体的には以下のようなイメージである。

• 狭義の投資・・・金銭的リターンを得ることを目的とした行為（事業・不動産・証券など）
• 広義の投資・・・将来のリターンを期待し今の資源（時間・お金・労力など）を使う行為すべて

狭義の投資についてはセキュリティベンダー以外の企業においては、間違いなく当てはまらない（セキュリティが参入障壁になっている業界は除く）。

筆者の私見

ここまでの考察を踏まえて、私の意見を述べる。

サイバーセキュリティは投資ではない
ただし"投資"といったほうが経営層には伝わりやすいから"セキュリティ投資"という言葉は使っても良い

これが結論である。自分で書いていてなんとも端切れの悪い結論だ。

なぜ「サイバーセキュリティは投資ではない」のか

投資という用語にはリターンが期待されている。
確かに"セキュリティ投資"は潜在的なコストを削減できているのかもしれない。広義の投資の意味に則り、損失回避＝価値創出しているのだから投資ということもできる。

しかし、本当に投資だろうか。サイバーセキュリティ投資は多くの場合ROIを算出できない。これを利益だなんて言ったら日々必死に原価計算している事業部門に怒鳴りつけられるではないだろうか。

工場を運用するときには必ず人命が脅かされることがないよう、安全管理を行う。安全管理に投資というか？

この理論でいうと用法③は利益を計測できるから投資なのではないかって？否、これはただの業務改善だ。無駄にかかっているコストを下げる取り組みにほかならない。

本日ここに宣言する——
サイバーセキュリティは投資ではない
と、、、、

言葉というものは厳密な意味より伝わりやすさのほうが大事

という詭弁はここまでにしよう。

世の中の言葉というのは厳格な用法がありそれに従って運用されるものではない。世の中の人が共通の理解を持てるように使われるべきである。

サイバーセキュリティに適切な予算が付き、ビジネスが正常に行える、個人情報が守られる、反社会勢力や敵対している国家に金銭が行き渡らない。理想的な状態ではないだろうか。

そんな世界を目指すためには何が必要か。

• 経営層にサイバーセキュリティ対策の必要性を理解してもらい

• 適切な予算をサイバーセキュリティ対策に割り当て

• 適切なサイバーセキュリティ対策を実装する

そのためには言葉狩りなどせず、伝わりやすい表現を使えば良いのではないだろうか。 一度胸に手を当てて、今までの自身の言動を振り返ってほしい。「技術者はいつも難解な言葉を話しているからよくわからない」そんな振る舞いをしていないだろうか。

サイバーセキュリティ業界に携わっている1人の人間として言いたい、 身内で言葉狩りをしている暇があったら隣の部署にセキュリティの大切さを広める運動をしろと 身内で刺し合ってる場合ではない。そんな業界に入りたいと思う若者はいない。

最後に

本記事を読んでいただいた方には深く御礼申し上げる。

最後のパートでは話が全く異なる方向に向かってしまったが、サイバーセキュリティは投資ではないというのは本心である。そして私はサイバーセキュリティはデフォルトで組み込まれているべきコストだと考える。セキュリティ部門が導入しろと言って嫌々WAFを導入するのではなく、事業部門が適切なリスク判断の上でセキュリティ費用を負担する。投資をするものではなくデフォルトで組み込まれているべきコストなのである。原材料と同じだ。

ただ、世の中の経営層はコストに厳しい。上場企業であればなおさらであろう。投資家から常に利益の最大化という義務を課されているのだから「費用」では予算はつかない。そのためには「投資」という言葉を使うのも時には良いのではないかと筆者は考える。

ベンダーの資料にでかでかと「セキュリティ投資」と書いていることに嫌悪感を覚えることもある。ただ、それも大目に見てよいのではないのだろうか。その方がわかりやすいのだから。（ちなみに筆者もベンダー側の人間である）

なぜ「サイバーセキュリティは投資ではない」のかのパートでは、やや強めの主張を書いている。すべてが私の最終的な結論というわけではないが、問題提起として意図的に踏み込んだ表現をしている点はご理解いただきたい。

この記事についてコメントがあればぜひXのリプライやリポストでコメントをいただきたい。この記事の内容や私個人に対する批判であれば甘んじて受け入れる。（冒頭に記載したようにその他の個人や組織への批判は控えていただきたい）