大半の組織でセキュリティの「コスト」確保が大きな課題になっている。“予算が足りない”の壁を超えるには、セキュリティ担当者の工夫が必要だ。予算を絞ってでもできるセキュリティ対策とは。
近年のサイバー攻撃は巧妙だ。攻撃に対抗するためのさまざまなツールは登場しているが、「高コストで導入できない」「運用する人材が不足している」といった悩みを抱える企業は少なくない。予算が足りないという“セキュリティの永遠の課題”は、どうすれば解決できるのか。限られた予算でもセキュリティを強化できる「8つのポイント」をまとめた。本稿はその第1弾として前半パートをお届けする。
まず大切なのは、リスク評価だ。すぐにパッチ(修正プログラム)を適用しなければならない脆弱(ぜいじゃく)性はどれか――。特に保護が必要なデータは何か――。スコアによってリスク評価を実施し、セキュリティ対策の優先順位を決めることが欠かせない。こうした戦略を「リスクベースのセキュリティ」と呼ぶ。リスクベースのセキュリティを採用すれば、セキュリティ予算を効果的に割り当てやすくなる。
大半の組織では、基幹業務のシステムや顧客データ、知的財産などの保護に重点を置くとよい。セキュリティ担当者はリスク評価を経営陣に共有し、「最低でもこのくらいの予算が必要だ」と、データを見せながら説得することが重要だ。それでも認められた予算が最低ラインを下回った場合、セキュリティ担当は再度のリスク評価の上、どのリスクを“許容”するかを判断しなければならない。
ヒューマンエラー(人間によるうっかりミス)は情報漏えいの主な原因の一つだ。定期的なセキュリティトレーニングを実施し、従業員のセキュリティに対する意識を強化することが重要になる。セキュリティトレーニングにはコストがかかるが、セキュリティ意識の向上させることによる対価はある。ROI(費用対効果)の観点からも。適切なセキュリティトレーニングを実施した方がいいと考えられる。
セキュリティトレーニングでは、「ソーシャルエンジニアリング」(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)について説明し、フィッシングメールの見極め方といった日頃にできるセキュリティ対策も受講者に教えるようにしよう。実施する頻度としては、四半期に1回程度が望ましい。セキュリティトレーニングの内容には災害復旧やサイバー戦争のトピックも含めるとよい。
セキュリティ運用の自動化ツールを使用すれば、脅威の検出やインシデントレスポンス(攻撃対処)、パッチ管理といった作業をシステムに任せ、セキュリティ担当者の負荷を軽減できる。加えて、脅威を特定するスピードや精度が向上し、防御力の強化につながる。そのため、ランサムウェア(身代金要求型マルウェア)といった攻撃による金銭的損失のリスクを減らせる。
運用の自動化はセキュリティに限らず、ネットワークに関しても効率化の有効な手法になる。近年、セキュリティとネットワークを統合運用する概念「NetSecOps」が広がっている。組織はNetSecOpsに取り組めば、セキュリティとネットワークの垣根をなくし、運用の効率化やコスト削減につなげられる。
特定のセキュリティ機能を専門会社にアウトソーシングすることも検討に値する。マネージドセキュリティサービスプロバイダー(MSSP)を使えば、システムの監視や脅威の検出、インシデントレスポンスなど、さまざまな機能の運用を任せられる。MSSPの市場は競争が激しい。そのためMSSPはコスト効率の点でも競争力を高める努力をしている。特に自社にセキュリティの専門家がいない企業では、MSSPのサービス利用がコストの観点でも賢い選択になることがある。
後編は、5つ目から8つ目までのポイントを紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
