セキュリティ投資のビジネス価値はシックスシグマで示せ：Column

業務部門というのは、「測定不能なもの」を測定するよう求めるところだ。セキュリティ投資の効果を具体的な数字で表すにはどうしたらいいだろうか。

[Tom Bowers，TechTarget]

　業務部門の連中がまた騒いでいる。セキュリティ投資のROI（投資利益率）の証拠、つまり数字を示せというのだ。彼らは、「測定不能なもの」を測定するよう求めているのだ。セキュリティが常にコストセンターと見なされ、決してプロフィットセンターと見なされることがないというのは、本当に残念なことだ。しかしこれがビジネスの世界の現実なのだ。セキュリティの本質はリスク管理機能にある。問題は、従来のROIモデルは、セキュリティのビジネス機能にうまく当てはまらないということだ。セキュリティスタッフは、会社にとって不都合な事が起きるのを防ぐが、それをどのように測定すればいいのだろうか。

　筆者は以前、大手製薬会社のセキュリティ部門で働いていたが、そこでは新プロジェクトの立ち上げや新技術の導入の価値を示す重要なデータを特定するために、シックスシグマを使用して成功した。われわれはROIを実証しようと試みるのではなく、シックスシグマツールを利用して何が測定可能なのかを特定した上で「測定」を行い、そのデータの分析結果をCFO（最高財務責任者）に提示してビジネス価値を示したのである。結局、重要なのは、常に「ビジネス価値」を示すことである。この価値は、経費節減額として具体的な数字で表すことが望ましい。

　シックスシグマとは、ゼネラル・エレクトリック、モトローラ、フォードといった企業が製造工程を改善するために用いている統計的プロセス測定手法である。これはデータ主体型の手法であり、統計データを用いて問題個所を特定する。特定された問題個所は、優先順位を付けた上で解決される。シックスシグマはプロセスの弱点を減少させるため、生産ラインの効率が高まり、利益率が改善される。製造工程に限らず、どんなプロセスにも応用でき、サービス業界でもそれを活用する人は多い。

　シックスシグマの要は、何を測定するかである。シックスシグマには、以下に示す5つの基本ステップがある。

• 定義――パフォーマンス改善目標
• 測定――評価対象となる既存システム
• 分析――欠点の解消を目的とする
• 改善――プロセスの改善には創造性が必要
• 管理――プロセスを制度化する

　筆者が勤めていたセキュリティ部門では、シックスシグマの最初の3つのステップを実行した。