「セキュリティ事故は突然に」、インシデント後に増える予算を効果的に使うコツ：完全無欠なセキュリティ対策など存在しない

サイバーセキュリティの予算は、インシデント発生後に急激に増加する。だが、その予算を最適に使うには、どのように使うべきなのだろうか。

≫ 2016年05月02日 08時00分公開

併せて読みたいお勧め記事

セキュリティ予算はどう使うべき？

「セキュリティ予算の7割がウイルス対策とファイアウォール」は時代遅れなのか？

「次世代ファイアウォール」の次を読む

「次世代ファイアウォール」とは何か

　組織はどのチャネルを強化する必要があるのだろうか。複数の調査では、インシデントによってサイバーセキュリティコストが増加した場合、投資対象を見直すことが提言されている。具体的には、Ponemon Instituteによる「2015 Cost of CyberCrime: United States」（2015年の米国におけるサイバー犯罪のコスト）調査や、Kaspersky Labの「Damage Control: The Cost of Security Breaches」（被害対策：セキュリティ侵害のコスト）レポートなどでその内容が提言されている。

　Ponemon Instituteの調査の分析では、サイバーセキュリティの予算に関する問題の解決策が提示されている。それは、攻撃の脅威を防ぐための特定のタスクを重視することである。具体的には次のようなタスクだ。

セキュリティ管理とIPS（侵入防止システム）／次世代ファイアウォールを確立することで攻撃の回数減らす
堅牢なSIEM（Security Information and Event Management）を使用して攻撃を短時間で解決する
暗号化と保護によってアプリケーションとデータのセキュリティを強化し、被害を最小限に抑える

　情報セキュリティには、投資対象を絞るのに役立つ3つの基本的な合言葉がある。それは、「多層防御」「最小権限の原則」「情報セキュリティのビジネスリスク対策」の3つだ。

　多層防御：最適な制御方法はできるだけ入り口近くで防ぐことだ。不正開錠できない金庫の中に貴重品を保管し、金庫自体を見えない場所に置いたからといって、家の玄関の安全性が低いままでは、問題が無いと考えるのは賢明ではない。実際には、強盗は家の中に侵入してくる。必要なのは、さまざまな層に適切なレベルのセキュリティを配置し、1つの防御手段に頼らないことだ。組織についても同じことがいえる。また、防御レベルは保護すべき資産の価値に見合ったものにしなければならない。

　最小権限の原則：重要な資産へのアクセスは、情報適格性に基づいて対応される必要がある。つまり、デフォルトのアクセスは「全て拒否」にし、職務に応じて必要な役割ベースのアクセス権限を実装して、経営陣によって適切な承認をしなければならない。下記などがこの取り組みで役に立つ。

ホワイトリスト
アプリケーション機能のセキュリティ
変更管理
セグメンテーション
職務の分離

　情報セキュリティのビジネスリスク対策：防御はビジネスリスクと足並みをそろえなければならない。これを促進するのは、情報セキュリティのリスク評価と戦略的なビジネス目標との連係だ。例えば、小売業者によってはWebサイトを持たず対外的にオンラインに存在しないところもある。その場合、小売業者に代わってクレジットカードの支払いを処理するサービスプロバイダーなどが該当する。また、小売店を持たず、Webにしか存在しない企業もある。この場合ビジネスモデルに応じて、セキュリティ予算に防御の費用を計上することをお勧めする。

　全てのセキュリティのインシデントや侵害からは学ぶ必要がある。例えば下記の内容を突き止めるべきだ。

セキュリテイのインシデントや侵害はどのように生じたのか
どうすれば再発を防止できるのか
インシデントやセキュリティ侵害が生じた場合や他のチャネルが侵害された場合にそれをどのように監視できるのか

　リスク評価の結果と照らし合わせた強力かつテスト済みのインシデント対策を確立しなくてはらない。完全無欠なセキュリティなどというものは存在しないが、サイバーセキュリティ予算を重要な項目に費やせば、セキュリティインシデントが発生したときの企業全体に対するリスクは、大幅に軽減できる。

TechTargetジャパントップセキュリティ