情報セキュリティ投資の考え方として適切なものはどれか。

📝 解説

セキュリティ投資の考え方の正解は「対策費用がリスク発生時の損失より小さい場合に投資する価値がある」です。堤防のインフラで例えると、大雨で川が氾濫した際の家屋への損害が1億円と見込まれる場合、3000万円の堤防工事をすることは費用対効果が十分あります。逆に、洪水リスクがほぼゼロの地域に同じ工事をするのは過剰投資です。情報セキュリティの投資判断も「対策費用 ＜ リスク発生確率 × 損失額（期待損失）」という考え方が基本です。過少投資は重大なリスクを残し、過剰投資は経営資源の無駄遣いになります。「最小限にすべき」も「際限なく増やすべき」も誤りで、リスクに見合ったバランスの取れた投資判断が重要です！