いくつか面白い記事があったのでメモ(原文は2002年あたりで古いけど)

「数字」がセキュリティ投資を正当化する
http://www.ciojp.com/contents/?id=00001593;t=24
http://www.cio.com/archive/021502/security.html (原文)

メトリックでセキュリティの価値を正しく評価する
http://www.ciojp.com/contents/?id=00002283;t=24

コード上のバグを即刻撲滅せよ！
http://www.ciojp.com/contents/?id=00001516;t=24

文章がうまいなー(笑)

ROSIについてその他の情報元
情報セキュリティにおける投資対効果、NRI 清水美香、2002-12-17
http://www.index.jp/news_alert/report/action/02_12_27_01.html
　ほぼ同じ内容ですが、こっちのほうが少し詳しいです

セキュリティ費用対効果
http://www.macnica.net/lanch/lanch56/se01.html

ROSI - Return on Security Investment:
http://www.intel.com/cd/network/connectivity/EMEA/ENG/solutions/security/114575.htm

ただ、あまり最近の情報がないですね。

NISTのガイドライン
Special Publication 800-65, Integrating Security into the Capital Planning and Investment Control Process
http://csrc.nist.gov/roi/index.html