予算があろうがなかろうが「倹約家のセキュリティ対策」を徹底すべし:限られた予算でセキュリティ強化【前編】
大半の組織でセキュリティの「コスト」確保が大きな課題になっている。“予算が足りない”の壁を超えるには、セキュリティ担当者の工夫が必要だ。予算を絞ってでもできるセキュリティ対策とは。
近年のサイバー攻撃は巧妙だ。攻撃に対抗するためのさまざまなツールは登場しているが、「高コストで導入できない」「運用する人材が不足している」といった悩みを抱える企業は少なくない。予算が足りないという“セキュリティの永遠の課題”は、どうすれば解決できるのか。限られた予算でもセキュリティを強化できる「8つのポイント」をまとめた。本稿はその第1弾として前半パートをお届けする。
1.リスクベースのセキュリティ
併せて読みたいお薦め記事
「セキュリティ」と「お金」の難しい関係
まず大切なのは、リスク評価だ。すぐにパッチ(修正プログラム)を適用しなければならない脆弱(ぜいじゃく)性はどれか――。特に保護が必要なデータは何か――。スコアによってリスク評価を実施し、セキュリティ対策の優先順位を決めることが欠かせない。こうした戦略を「リスクベースのセキュリティ」と呼ぶ。リスクベースのセキュリティを採用すれば、セキュリティ予算を効果的に割り当てやすくなる。
大半の組織では、基幹業務のシステムや顧客データ、知的財産などの保護に重点を置くとよい。セキュリティ担当者はリスク評価を経営陣に共有し、「最低でもこのくらいの予算が必要だ」と、データを見せながら説得することが重要だ。それでも認められた予算が最低ラインを下回った場合、セキュリティ担当は再度のリスク評価の上、どのリスクを“許容”するかを判断しなければならない。
2.セキュリティ意識の向上
ヒューマンエラー(人間によるうっかりミス)は情報漏えいの主な原因の一つだ。定期的なセキュリティトレーニングを実施し、従業員のセキュリティに対する意識を強化することが重要になる。セキュリティトレーニングにはコストがかかるが、セキュリティ意識の向上させることによる対価はある。ROI(費用対効果)の観点からも。適切なセキュリティトレーニングを実施した方がいいと考えられる。
セキュリティトレーニングでは、「ソーシャルエンジニアリング」(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)について説明し、フィッシングメールの見極め方といった日頃にできるセキュリティ対策も受講者に教えるようにしよう。実施する頻度としては、四半期に1回程度が望ましい。セキュリティトレーニングの内容には災害復旧やサイバー戦争のトピックも含めるとよい。
3.セキュリティの自動化
セキュリティ運用の自動化ツールを使用すれば、脅威の検出やインシデントレスポンス(攻撃対処)、パッチ管理といった作業をシステムに任せ、セキュリティ担当者の負荷を軽減できる。加えて、脅威を特定するスピードや精度が向上し、防御力の強化につながる。そのため、ランサムウェア(身代金要求型マルウェア)といった攻撃による金銭的損失のリスクを減らせる。
運用の自動化はセキュリティに限らず、ネットワークに関しても効率化の有効な手法になる。近年、セキュリティとネットワークを統合運用する概念「NetSecOps」が広がっている。組織はNetSecOpsに取り組めば、セキュリティとネットワークの垣根をなくし、運用の効率化やコスト削減につなげられる。
4.セキュリティのアウトソーシング
特定のセキュリティ機能を専門会社にアウトソーシングすることも検討に値する。マネージドセキュリティサービスプロバイダー(MSSP)を使えば、システムの監視や脅威の検出、インシデントレスポンスなど、さまざまな機能の運用を任せられる。MSSPの市場は競争が激しい。そのためMSSPはコスト効率の点でも競争力を高める努力をしている。特に自社にセキュリティの専門家がいない企業では、MSSPのサービス利用がコストの観点でも賢い選択になることがある。
後編は、5つ目から8つ目までのポイントを紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.