サイバーセキュリティの予算は、インシデント発生後に急激に増加する。だが、その予算を最適に使うには、どのように使うべきなのだろうか。
サイバー攻撃インシデントの発生時には、サイバーセキュリティの予算が驚異的に増加する。場合によっては、最高情報セキュリティ責任者(CISO)の辞任や最高情報責任者(CIO)の辞任につながることもある。だが、これは実際のところ保守的な対応だ。問題は再発の軽減および防止するために、どこに予算を割り当てればよいのかだ。
組織はどのチャネルを強化する必要があるのだろうか。複数の調査では、インシデントによってサイバーセキュリティコストが増加した場合、投資対象を見直すことが提言されている。具体的には、Ponemon Instituteによる「2015 Cost of CyberCrime: United States」(2015年の米国におけるサイバー犯罪のコスト)調査や、Kaspersky Labの「Damage Control: The Cost of Security Breaches」(被害対策:セキュリティ侵害のコスト)レポートなどでその内容が提言されている。
Ponemon Instituteの調査の分析では、サイバーセキュリティの予算に関する問題の解決策が提示されている。それは、攻撃の脅威を防ぐための特定のタスクを重視することである。具体的には次のようなタスクだ。
情報セキュリティには、投資対象を絞るのに役立つ3つの基本的な合言葉がある。それは、「多層防御」「最小権限の原則」「情報セキュリティのビジネスリスク対策」の3つだ。
多層防御:最適な制御方法はできるだけ入り口近くで防ぐことだ。不正開錠できない金庫の中に貴重品を保管し、金庫自体を見えない場所に置いたからといって、家の玄関の安全性が低いままでは、問題が無いと考えるのは賢明ではない。実際には、強盗は家の中に侵入してくる。必要なのは、さまざまな層に適切なレベルのセキュリティを配置し、1つの防御手段に頼らないことだ。組織についても同じことがいえる。また、防御レベルは保護すべき資産の価値に見合ったものにしなければならない。
最小権限の原則:重要な資産へのアクセスは、情報適格性に基づいて対応される必要がある。つまり、デフォルトのアクセスは「全て拒否」にし、職務に応じて必要な役割ベースのアクセス権限を実装して、経営陣によって適切な承認をしなければならない。下記などがこの取り組みで役に立つ。
情報セキュリティのビジネスリスク対策:防御はビジネスリスクと足並みをそろえなければならない。これを促進するのは、情報セキュリティのリスク評価と戦略的なビジネス目標との連係だ。例えば、小売業者によってはWebサイトを持たず対外的にオンラインに存在しないところもある。その場合、小売業者に代わってクレジットカードの支払いを処理するサービスプロバイダーなどが該当する。また、小売店を持たず、Webにしか存在しない企業もある。この場合ビジネスモデルに応じて、セキュリティ予算に防御の費用を計上することをお勧めする。
全てのセキュリティのインシデントや侵害からは学ぶ必要がある。例えば下記の内容を突き止めるべきだ。
リスク評価の結果と照らし合わせた強力かつテスト済みのインシデント対策を確立しなくてはらない。完全無欠なセキュリティなどというものは存在しないが、サイバーセキュリティ予算を重要な項目に費やせば、セキュリティインシデントが発生したときの企業全体に対するリスクは、大幅に軽減できる。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
