金がないなら知恵をくれ 予算がないからできる「激安セキュリティ対策」：限られた予算でセキュリティ強化【後編】

工夫を凝らせば、限られた予算でもセキュリティの強化を図れる。具体的には何ができるのか。低予算でできるセキュリティ対策の第2弾をお届けする。

[Jerald Murphy，TechTarget]

　「セキュリティの強化が必要なのは分かっているけれど、予算が……」。セキュリティに関して大半の組織が直面するのは、“お金の壁”だ。実は、予算が限られていてもセキュリティを強化できるさまざまな施策がある。限られた予算でもできるセキュリティ対策「8つのポイント」のうち、後半の5つ目から8つ目までを紹介する。

5．パッチ適用とシステムの定期的なアップデート　無償ツールもある？

併せて読みたいお薦め記事

連載：限られた予算でセキュリティ強化

• 前編：予算があろうがなかろうが「吝嗇家のセキュリティ対策」を徹底すべし

「セキュリティ」と「お金」の難しい関係

• ROIを高める「サイバーセキュリティ予算」の使い方“3大ステップ”
• クラウドセキュリティは「予算オーバーが当たり前」という残念過ぎる現実

　脆弱（ぜいじゃく）性のパッチ（修正プログラム）が適用されていないソフトウェアや更新されていないシステムは、攻撃者にとって格好の標的になる。定期的にパッチを適用したり、システムを更新したりすれば、攻撃者にとっての“侵入口”が生じにくくなる。複数の高価なセキュリティ製品を採用しなくても、攻撃リスクを減らすことが可能だ。クライアントOS「Windows」搭載PCを管理できる「Microsoft Endpoint Configuration Manager」といったツールを使うことで、効率的にパッチ適用ができる。

6．情報共有・情報活用

　人工知能（AI）技術などによって脅威を分析するためのツールがあるが、価格が高額になりがちであるため、予算が限られている場合には導入しにくい。より低コストでできる“脅威インテリジェンス”といえば、企業同士でセキュリティ関連の情報を共有し、他社のノウハウを利用できるネットワークづくりだ。

　公開情報の活用も有効だ。例えば、米国のIT研究団体MITREが提供している「MITRE ATT&CK」（攻撃の戦術を分析してノウハウ化したナレッジベース）や、金融機関向けセキュリティ団体FS-ISACの情報集などがある。これらを使えば、低コストでセキュリティのベストプラクティス（最適な方法）を確立できる。

7．ROIの測定

　継続的にセキュリティ予算を確保するためには、経営陣に対してその効果の可視化が欠かせない。「攻撃件数をこのくらい減らせた」といった具合に、セキュリティのROI（費用対効果）を測定すれば、データによってセキュリティの効果を示せる。ROIの指標としては攻撃件数の他、システムのダウンタイム（停止期間）の短縮や、財務上の損失の低減などがある。

8．オープンソースツールのリスクを認識

　オープンソースのセキュリティツールは、高価な商用ツールと比べれば、魅力的な選択肢になる。しかしオープンソースのツールを利用する場合には、脆弱性への対処に注意を払うことが欠かせない。広く被害が及んだオープンソースソフトウェア（OSS）の脆弱性として、プログラミング言語および開発・実行環境「Java」のログ出力ライブラリ「Apache Log4j」の脆弱性「CVE-2021-44228」（通称「Log4Shell」）が挙げられる。

---

　「セキュリティ予算が足りない」ことは、どういった組織でも起こり得る避けられない現実だ。ポイントは、限られた予算を効率的に使うためのさまざまな工夫を凝らすこと。リスク評価やセキュリティ運用の自動化、他社ノウハウの活用などできることに限界はない。知恵を絞れば、大金をかけなくてもセキュリティの強化はできるはずだ。

変更履歴（2024年10月3日11時20分）

記事掲載当初、「Microsoft Endpoint Configuration Manager」に関して無償で利用できるツールという説明がありましたが、同ツールの試用版以外は有償です。おわびして訂正します。該当箇所は修正済みです。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。