セキュリティ予算がないなら「高額＝安全」の呪縛を解いて出直すべし：セキュリティによくある5つの誤解【第3回】

セキュリティ対策を強化するほどコストがかかりがちだが、解決方法はある。「セキュリティ対策は高過ぎる」説を払拭し、より安価にセキュリティ対策を実施するには何が必要なのか。

[Neil Langridge，TechTarget]

　「セキュリティには過度に投資したくない」「必要だがセキュリティ予算の捻出ができない」――。そう考えている経営者やセキュリティ担当者は少なくない。セキュリティ対策にコストがかかるのは不可避だが、「高過ぎるセキュリティ対策」にお金を払う必要があるのかどうかは慎重に見極めるべきだ。実は安価にセキュリティ対策を講じる方法もある。セキュリティを巡る5つの誤解のうち、本稿は3つ目を紹介する。

3．「セキュリティツールは高価過ぎる」

併せて読みたいお薦め記事

連載：セキュリティによくある5つの誤解

• 第1回：「うちは攻撃されない」の誤解こそが“被害案件の元凶”だった？
• 第2回：「マルウェア対策ソフトがあるから安全」の過信が招く“思わぬ事故”とは

セキュリティにまつわる「誤解」とは

• セキュリティ製品を爆買いすればセキュリティが高まると勘違いしていないか？
• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由

　セキュリティツールの中には、組織にとっては高価で手を出しにくいものがある。しかし手頃な価格で提供される製品もある。セキュリティ人材の育成にコストをかけられないのであれば、MSP（マネージドサービスプロバイダー）やMSSP（マネージドセキュリティサービスプロバイダー）を利用してセキュリティ運用の体制を強化することもできる。

実例

　ブリストルの小規模な慈善団体は、英国のセキュリティに関する政府機関である国家サイバーセキュリティセンター（NCSC）が提供する無料ツールを使っていたことで、攻撃による被害を回避できた。この慈善団体は、攻撃の経験を機にセキュリティ体制を見直し、脆弱性を特定した上で、侵入されないための対策を追加した。

対策

• 無料ガイドラインの活用
  • NCSCの「Cyber Essentials」といった、セキュリティに関する基本的なガイドラインを活用する。セキュリティコンサルティング会社など、外部の知恵を借りることも有効だ。セキュリティベンダーによる無料のセキュリティ評価ツールの利用も検討できる。
• セキュリティ予算の優先順位付け
  • メールシステムの保護や多要素認証（MFA）の実装など、効果的と考えられる領域に投資を集中するとよい。

---

　第4回は、4つ目の誤解を紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。