「セキュリティ予算ゼロ」でも防衛力は上がる 情シスが打つべき“背水の陣”既存資産の設定変更やOSS活用

予算横ばいは、セキュリティ放棄の免罪符にはならない。攻撃が巧妙化する中、追加投資なしでいかに説明責任を果たすか。今すぐに実行できる具体策をまとめた。

2025年12月19日 10時00分 公開
[TechTargetジャパン]

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 来年度も、セキュリティ予算の「横ばい」が決定――。セキュリティ予算が増えない中、新しい脅威や手口が巧妙化している攻撃にはどう対抗すればいいのか。そう悩むセキュリティ担当者も多いだろう。

 しかしセキュリティの強化は、必ずしも「全部を買い足す」ことではない。既存セキュリティ製品の運用最適化や社内教育の工夫、人工知能(AI)技術活用によって大金をかけなくてもセキュリティの強化を図れる。「格安セキュリティ」の具体策とは。

1.既存IT資産の設定と運用方法を見直す

 大半の企業で、導入しているセキュリティ製品が本来の能力をフルに発揮できていないと言われている。設定と運用方法を変えることによって、既存のIT資産を生かす形でセキュリティの強化を図れる。

ログ収集範囲の最適化

 「SIEM」(Security Information and Event Management)といった高額な製品を導入しなくても、導入済みセキュリティ製品のログ機能を最適化すれば、異常が検出しやすくなり、侵害の早期検知率を上昇させることができる。

  • 重要サーバのセキュリティログを集中管理
  • 「Windows」のイベント監査を強化(失敗ログも回収)
  • ログ保全期間を延長
  • DNS(Domain Name System)ログ分析で不審通信を可視化

セキュリティポリシー強化

 設定変更によって、既存の「UTM」(統合脅威管理)や「EDR」(Endpoint Detection and Response)、ウイルス対策ソフトウェアのセキュリティポリシーを見直す。

  • IPS/IDS(不正侵入検知/防止)の検知レベルを強化
  • EDRの自動隔離ルールを有効化
  • Webフィルタで危険カテゴリを追加
  • USB制御ポリシーを追加

脆弱性管理の改善

 脆弱(ぜいじゃく)性管理はツール導入よりも、作業の効率化や自動化の方が改善につながりやすい。

  • 「Microsoft Excel」の「XLOOKUP」関数でIT資産を整理
  • 重要資産を決めて月次でセキュリティアップデートとパッチ(修正プログラム)適用を実施
  • 非重要資産を決めて四半期ごとに同様の対策を講じる

2.従業員向けセキュリティ教育に注力する

 フィッシング攻撃によるパスワード流出といった、より大きな攻撃につながり得るリスクを低減するために、「人間の脆弱性」に対処しなければならない。そのためには従業員向けのセキュリティ教育が効果的だ。

 セキュリティ教育に当たり、長時間研修はコストや負担がかかるので、「短時間×高頻度」での実施が鍵を握る。研修を楽しくすれば、参加率や学習効果が高まると考えられる。

  • 毎月、10分程度の「セキュリティ小話」(最近の攻撃事例といった旬のトピックを取り上げる)
  • 毎週、1〜3問のセキュリティクイズ
  • フィッシング攻撃の模擬訓練

3.リスクの見直しと切り捨て戦略

 セキュリティ予算が増えないなら、IT資産全体を守るのではなく、保護対象を減らす戦略が必要になる。

インターネットに公開されているシステムを削減

 攻撃面を減らせば、安全度が上がる。

  • 古いVPN(仮想プライベートネットワーク)
  • 使わないWeb管理ポータル
  • 古いメールゲートウェイ
  • その他の不必要なサービス

クラウド化で運用コスト削減

 オンプレミスシステムだと機器の更新コストが発生するので、クラウドサービスに切り替えることでコスト削減ができる場合がある。

  • オンプレミスのファイアウォールを「FWaaS」(Firewall as a Service)にする
  • 専用のスパムフィルター製品の代わりに、マルウェア対策機能「Microsoft Defenderウイルス対策」(Microsoft Defender Antivirus)といったツールのスパムフィルター機能を使う

4.オープンソースソフトウェア(OSS)や無償ツールの活用

  • IT資産管理:「GLPI」や「OCS Inventory NG」
  • EDR代替:「Wazuh」
  • SIEM代替:Wazuhと「Elasticsearch」の組み合わせ
  • 脆弱性診断:「OpenVAS」

5.無償AIツールの活用

 多額のAIセキュリティ投資が難しい場合でも、無償のAIツールを運用補助として生かすことができる。

  • ログを分析するための「SQL」生成をAIに補助してもらう
  • ログ分析メモやレポートの骨子作成
  • 社内通知文面の自動化

 上記を踏まえ、経営陣に「システムが守れている証拠」を提示して予算確保の土台を作ることも有効な取り組みになる。逆に言えば、成果を見せなければ、次年度もセキュリティ予算が増えない可能性が高い。次の予算を獲得しやすくするための指標として、主に以下のものがある。

  • セキュリティ事故未然防止数
  • パッチ適用遅延率の改善
  • EDR検知数の減少
  • IT資産管理率の向上
  • アクセス権限棚卸数

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ
会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方