2016年05月02日 08時00分 公開
特集/連載

「セキュリティ事故は突然に」、インシデント後に増える予算を効果的に使うコツ完全無欠なセキュリティ対策など存在しない

サイバーセキュリティの予算は、インシデント発生後に急激に増加する。だが、その予算を最適に使うには、どのように使うべきなのだろうか。

[Mike O. Villegas,TechTarget]
Ponemon Institute Ponemon Instituteの公式Webページ《クリックで拡大》

 サイバー攻撃インシデントの発生時には、サイバーセキュリティの予算が驚異的に増加する。場合によっては、最高情報セキュリティ責任者(CISO)の辞任や最高情報責任者(CIO)の辞任につながることもある。だが、これは実際のところ保守的な対応だ。問題は再発の軽減および防止するために、どこに予算を割り当てればよいのかだ。


 組織はどのチャネルを強化する必要があるのだろうか。複数の調査では、インシデントによってサイバーセキュリティコストが増加した場合、投資対象を見直すことが提言されている。具体的には、Ponemon Instituteによる「2015 Cost of CyberCrime: United States」(2015年の米国におけるサイバー犯罪のコスト)調査や、Kaspersky Labの「Damage Control: The Cost of Security Breaches」(被害対策:セキュリティ侵害のコスト)レポートなどでその内容が提言されている。

 Ponemon Instituteの調査の分析では、サイバーセキュリティの予算に関する問題の解決策が提示されている。それは、攻撃の脅威を防ぐための特定のタスクを重視することである。具体的には次のようなタスクだ。

  • セキュリティ管理とIPS(侵入防止システム)/次世代ファイアウォールを確立することで攻撃の回数減らす
  • 堅牢なSIEM(Security Information and Event Management)を使用して攻撃を短時間で解決する
  • 暗号化と保護によってアプリケーションとデータのセキュリティを強化し、被害を最小限に抑える

 情報セキュリティには、投資対象を絞るのに役立つ3つの基本的な合言葉がある。それは、「多層防御」「最小権限の原則」「情報セキュリティのビジネスリスク対策」の3つだ。

 多層防御:最適な制御方法はできるだけ入り口近くで防ぐことだ。不正開錠できない金庫の中に貴重品を保管し、金庫自体を見えない場所に置いたからといって、家の玄関の安全性が低いままでは、問題が無いと考えるのは賢明ではない。実際には、強盗は家の中に侵入してくる。必要なのは、さまざまな層に適切なレベルのセキュリティを配置し、1つの防御手段に頼らないことだ。組織についても同じことがいえる。また、防御レベルは保護すべき資産の価値に見合ったものにしなければならない。

 最小権限の原則:重要な資産へのアクセスは、情報適格性に基づいて対応される必要がある。つまり、デフォルトのアクセスは「全て拒否」にし、職務に応じて必要な役割ベースのアクセス権限を実装して、経営陣によって適切な承認をしなければならない。下記などがこの取り組みで役に立つ。

  • ホワイトリスト
  • アプリケーション機能のセキュリティ
  • 変更管理
  • セグメンテーション
  • 職務の分離

 情報セキュリティのビジネスリスク対策:防御はビジネスリスクと足並みをそろえなければならない。これを促進するのは、情報セキュリティのリスク評価と戦略的なビジネス目標との連係だ。例えば、小売業者によってはWebサイトを持たず対外的にオンラインに存在しないところもある。その場合、小売業者に代わってクレジットカードの支払いを処理するサービスプロバイダーなどが該当する。また、小売店を持たず、Webにしか存在しない企業もある。この場合ビジネスモデルに応じて、セキュリティ予算に防御の費用を計上することをお勧めする。

 全てのセキュリティのインシデントや侵害からは学ぶ必要がある。例えば下記の内容を突き止めるべきだ。

  • セキュリテイのインシデントや侵害はどのように生じたのか
  • どうすれば再発を防止できるのか
  • インシデントやセキュリティ侵害が生じた場合や他のチャネルが侵害された場合にそれをどのように監視できるのか

 リスク評価の結果と照らし合わせた強力かつテスト済みのインシデント対策を確立しなくてはらない。完全無欠なセキュリティなどというものは存在しないが、サイバーセキュリティ予算を重要な項目に費やせば、セキュリティインシデントが発生したときの企業全体に対するリスクは、大幅に軽減できる。

ITmedia マーケティング新着記事

news101.jpg

「日本企業的DX」の神髄(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news024.jpg

CEOと従業員の給与差「299倍」をどう考える?
今回は、米国の労働事情における想像を超える格差について取り上げます。

news153.jpg

日立ソリューションズが仮想イベントプラットフォームを提供開始
セミナーやショールームなどを仮想空間上に構築。