工夫を凝らせば、限られた予算でもセキュリティの強化を図れる。具体的には何ができるのか。低予算でできるセキュリティ対策の第2弾をお届けする。
「セキュリティの強化が必要なのは分かっているけれど、予算が……」。セキュリティに関して大半の組織が直面するのは、“お金の壁”だ。実は、予算が限られていてもセキュリティを強化できるさまざまな施策がある。限られた予算でもできるセキュリティ対策「8つのポイント」のうち、後半の5つ目から8つ目までを紹介する。
脆弱(ぜいじゃく)性のパッチ(修正プログラム)が適用されていないソフトウェアや更新されていないシステムは、攻撃者にとって格好の標的になる。定期的にパッチを適用したり、システムを更新したりすれば、攻撃者にとっての“侵入口”が生じにくくなる。複数の高価なセキュリティ製品を採用しなくても、攻撃リスクを減らすことが可能だ。クライアントOS「Windows」搭載PCを管理できる「Microsoft Endpoint Configuration Manager」といったツールを使うことで、効率的にパッチ適用ができる。
人工知能(AI)技術などによって脅威を分析するためのツールがあるが、価格が高額になりがちであるため、予算が限られている場合には導入しにくい。より低コストでできる“脅威インテリジェンス”といえば、企業同士でセキュリティ関連の情報を共有し、他社のノウハウを利用できるネットワークづくりだ。
公開情報の活用も有効だ。例えば、米国のIT研究団体MITREが提供している「MITRE ATT&CK」(攻撃の戦術を分析してノウハウ化したナレッジベース)や、金融機関向けセキュリティ団体FS-ISACの情報集などがある。これらを使えば、低コストでセキュリティのベストプラクティス(最適な方法)を確立できる。
継続的にセキュリティ予算を確保するためには、経営陣に対してその効果の可視化が欠かせない。「攻撃件数をこのくらい減らせた」といった具合に、セキュリティのROI(費用対効果)を測定すれば、データによってセキュリティの効果を示せる。ROIの指標としては攻撃件数の他、システムのダウンタイム(停止期間)の短縮や、財務上の損失の低減などがある。
オープンソースのセキュリティツールは、高価な商用ツールと比べれば、魅力的な選択肢になる。しかしオープンソースのツールを利用する場合には、脆弱性への対処に注意を払うことが欠かせない。広く被害が及んだオープンソースソフトウェア(OSS)の脆弱性として、プログラミング言語および開発・実行環境「Java」のログ出力ライブラリ「Apache Log4j」の脆弱性「CVE-2021-44228」(通称「Log4Shell」)が挙げられる。
「セキュリティ予算が足りない」ことは、どういった組織でも起こり得る避けられない現実だ。ポイントは、限られた予算を効率的に使うためのさまざまな工夫を凝らすこと。リスク評価やセキュリティ運用の自動化、他社ノウハウの活用などできることに限界はない。知恵を絞れば、大金をかけなくてもセキュリティの強化はできるはずだ。
記事掲載当初、「Microsoft Endpoint Configuration Manager」に関して無償で利用できるツールという説明がありましたが、同ツールの試用版以外は有償です。おわびして訂正します。該当箇所は修正済みです。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。