肝心な事書くの忘れてました。
今回のお話、特に議論時の前提条件ですが。
「セキュリティ対策にはお金(予算)がかかる事、そして予算は有限である。」
「セキュリティ対策は手段であって目的ではない」
ちょっと学生さんだと実感し辛いかな? それと「(悪い意味での)セキュリティ原理主義者(藁)」だと反発する向きもあるかもしれませんが、これが現実です。
企業・組織が何のためのセキュリティ対策を行うのか、それは一重に企業・組織の目的を達成するために必要な行為であると認めた(勿論認めるのは組織の長(社長とか)や、長が委任した人ですヨ)から行うのであって、セキュリティ対策をしたいからする訳じゃありません。
そして組織が動くために決める事として「予算」がある訳ですが、当然身の丈に合わない予算は組めない(倒産するから)ので、限られた枠の中で予算を組む事になります。
で、問題なのは「予算はセキュリティ対策だけに使われるのではない(寧ろそれ以外の用途の方が多い)」という事です。
予算という「限られたパイ」をどの位に切り分けるか、色々に部署が争奪戦を繰り広げる訳です(年度末の風物詩ですなぁ(笑))。
セキュリティ対策というのは、企業・組織の直接の目的達成には結びつかないケースが多く、結果として優先度が低く付けられてしまう(=少ない予算が割り当てられる)事が殆どです。
ついでに言うと、セキュリティ対策という枠では通常予算は組みません。「IT化予算」等の「情報システムの導入・運用費」の一部分として「セキュリティ対策費」が枠を割り当てられる(どの位と言うと難しいですが、昔N+I Network Guideに出た記事によると、IT化予算の1/10程度だとか……)ので、少ない予算の更にごく限られた金額で、組織全体のセキュリティ対策を実施していかなければならないというのが、現実なのですヨ。
(もうね、心の中で「予算少ない~」と涙を流しつつ、アチコチからプレッシャーをかけられつつ地道な仕事に勤しんでいる訳ですよ、情シスというのは(苦笑)。)
この前提条件を心の片隅に置きながら、資料を読んだり議論をしないと、歯車が噛みあわない事請け合いですのでご注意下さいませ。m(_ _)m
今回のお話、特に議論時の前提条件ですが。
「セキュリティ対策にはお金(予算)がかかる事、そして予算は有限である。」
「セキュリティ対策は手段であって目的ではない」
ちょっと学生さんだと実感し辛いかな? それと「(悪い意味での)セキュリティ原理主義者(藁)」だと反発する向きもあるかもしれませんが、これが現実です。
企業・組織が何のためのセキュリティ対策を行うのか、それは一重に企業・組織の目的を達成するために必要な行為であると認めた(勿論認めるのは組織の長(社長とか)や、長が委任した人ですヨ)から行うのであって、セキュリティ対策をしたいからする訳じゃありません。
そして組織が動くために決める事として「予算」がある訳ですが、当然身の丈に合わない予算は組めない(倒産するから)ので、限られた枠の中で予算を組む事になります。
で、問題なのは「予算はセキュリティ対策だけに使われるのではない(寧ろそれ以外の用途の方が多い)」という事です。
予算という「限られたパイ」をどの位に切り分けるか、色々に部署が争奪戦を繰り広げる訳です(年度末の風物詩ですなぁ(笑))。
セキュリティ対策というのは、企業・組織の直接の目的達成には結びつかないケースが多く、結果として優先度が低く付けられてしまう(=少ない予算が割り当てられる)事が殆どです。
ついでに言うと、セキュリティ対策という枠では通常予算は組みません。「IT化予算」等の「情報システムの導入・運用費」の一部分として「セキュリティ対策費」が枠を割り当てられる(どの位と言うと難しいですが、昔N+I Network Guideに出た記事によると、IT化予算の1/10程度だとか……)ので、少ない予算の更にごく限られた金額で、組織全体のセキュリティ対策を実施していかなければならないというのが、現実なのですヨ。
(もうね、心の中で「予算少ない~」と涙を流しつつ、アチコチからプレッシャーをかけられつつ地道な仕事に勤しんでいる訳ですよ、情シスというのは(苦笑)。)
この前提条件を心の片隅に置きながら、資料を読んだり議論をしないと、歯車が噛みあわない事請け合いですのでご注意下さいませ。m(_ _)m
