セキュリティは儲からないか(1)
昨今、マイナンバー制度を始め様々なICTが制度に取り込まれつつあるなか
情報セキュリティーが注目されている。
筆者自身、セキュリティの研究者という側面もあるので雑感
弊社は情報セキュリティに対して活発に研究開発の投資を行っている
一方、現場からすると現状の方針では情報セキュリティは儲からないという感覚がある。
その理由を3つにまとめてみた
1.情報セキュリティー自身はお金を生まない
情報セキュリティーは言葉はいいが、情報システムで言えば非機能要件である
(非機能要件:システムで実現したい主目的を達成するための以外の要件)
つまり、極論非機能要件は無くてもシステムはできる
そうなれば情報セキュリティーは差別化できる要素であるが、それ自体でお金を生み出すことができる性質の機能ではない。
多くの場合、その性質に対して多大なコストをかけようとする経営判断がされないことが多い。
2.費用対効果が低い(ように見える)
セキュリティは何かしらの「リスク」に対しての対応策として考えることができる。
何かしらのリスクが存在する場合、4つの対応策がある
⒈リスクの低減(発生確率を下げる:セキュリティ対策ソフト)
⒉リスクの保有(発生するリスクを許容する:何もしない)
⒊リスクの回避(発生しないようにする:ネットを使わない)
⒋リスクの移転(リスクを他人に負担してもらう:保険)
このようにした場合、多くの場合セキュリティ系企業の商材は1に偏る
この時、1を使い実際にセキュリティを担保する場合莫大なコストがかかってしまうため (追加のソフトウェア、アプライアンス等が必要)
クライアントが4つのうちどれを取るのか考えた場合
第1選択肢として1を考えるが、その値段に驚き2〜3に流れる場合多くあるため
意外と1の手段になる時は多くない。
(本当は1~4をミックスしてリスクとコストで効果が一番大きくなるところを考える)
個人的な感覚としては、日本人はリスクへの認識と対処があまりうまくないと思いますが・・・・
3.効果がわかりにくいためコモディティ化する
クライアントがめでたく「リスクの低減」をとった場合
実際にそのための製品を導入する。
セキュリティ商材はそれぞれたくさんの特徴がある。
しかし、その効果はクライアントには非常にわかりにくいうえに製品毎の効果の差もわかりにくい
例えば、トレンドマイクロとカスペルスキーが店頭に並んでいてどちらを買うか
パッケージ後ろに書いてある意味はあまり理解できないので値段で決めることが多いと思います。
つまり、セキュリティ機能がコモディティ化してしまっている部分があります。
そうなった場合利益を削って価格を下げる戦略を取ることになってしまいます。
以上から、理解が難しいうえに一般的な商材は消耗戦になってしまいます。
そのため利益を生みにくい構造になっているのではと思います。
このような場合、どのようにして利益を上げていくかは
既存の経営学の範疇になるかと思います。
そのため戦略によったら利益が出る可能性がありますが
セキュリティだから儲かるという構造ではない。
しかし、本当にセキュリティは儲からないのか?
ということを次に考えていこうと思います。