検索
特集/連載

「セキュリティ予算ゼロ」でも防衛力は上がる 情シスが打つべき“背水の陣”既存資産の設定変更やOSS活用

予算横ばいは、セキュリティ放棄の免罪符にはならない。攻撃が巧妙化する中、追加投資なしでいかに説明責任を果たすか。今すぐに実行できる具体策をまとめた。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 来年度も、セキュリティ予算の「横ばい」が決定――。セキュリティ予算が増えない中、新しい脅威や手口が巧妙化している攻撃にはどう対抗すればいいのか。そう悩むセキュリティ担当者も多いだろう。

 しかしセキュリティの強化は、必ずしも「全部を買い足す」ことではない。既存セキュリティ製品の運用最適化や社内教育の工夫、人工知能(AI)技術活用によって大金をかけなくてもセキュリティの強化を図れる。「格安セキュリティ」の具体策とは。

1.既存IT資産の設定と運用方法を見直す

 大半の企業で、導入しているセキュリティ製品が本来の能力をフルに発揮できていないと言われている。設定と運用方法を変えることによって、既存のIT資産を生かす形でセキュリティの強化を図れる。

ログ収集範囲の最適化

 「SIEM」(Security Information and Event Management)といった高額な製品を導入しなくても、導入済みセキュリティ製品のログ機能を最適化すれば、異常が検出しやすくなり、侵害の早期検知率を上昇させることができる。

  • 重要サーバのセキュリティログを集中管理
  • 「Windows」のイベント監査を強化(失敗ログも回収)
  • ログ保全期間を延長
  • DNS(Domain Name System)ログ分析で不審通信を可視化

セキュリティポリシー強化

 設定変更によって、既存の「UTM」(統合脅威管理)や「EDR」(Endpoint Detection and Response)、ウイルス対策ソフトウェアのセキュリティポリシーを見直す。

  • IPS/IDS(不正侵入検知/防止)の検知レベルを強化
  • EDRの自動隔離ルールを有効化
  • Webフィルタで危険カテゴリを追加
  • USB制御ポリシーを追加

脆弱性管理の改善

 脆弱(ぜいじゃく)性管理はツール導入よりも、作業の効率化や自動化の方が改善につながりやすい。

  • 「Microsoft Excel」の「XLOOKUP」関数でIT資産を整理
  • 重要資産を決めて月次でセキュリティアップデートとパッチ(修正プログラム)適用を実施
  • 非重要資産を決めて四半期ごとに同様の対策を講じる

2.従業員向けセキュリティ教育に注力する

 フィッシング攻撃によるパスワード流出といった、より大きな攻撃につながり得るリスクを低減するために、「人間の脆弱性」に対処しなければならない。そのためには従業員向けのセキュリティ教育が効果的だ。

 セキュリティ教育に当たり、長時間研修はコストや負担がかかるので、「短時間×高頻度」での実施が鍵を握る。研修を楽しくすれば、参加率や学習効果が高まると考えられる。

  • 毎月、10分程度の「セキュリティ小話」(最近の攻撃事例といった旬のトピックを取り上げる)
  • 毎週、1〜3問のセキュリティクイズ
  • フィッシング攻撃の模擬訓練

3.リスクの見直しと切り捨て戦略

 セキュリティ予算が増えないなら、IT資産全体を守るのではなく、保護対象を減らす戦略が必要になる。

インターネットに公開されているシステムを削減

 攻撃面を減らせば、安全度が上がる。

  • 古いVPN(仮想プライベートネットワーク)
  • 使わないWeb管理ポータル
  • 古いメールゲートウェイ
  • その他の不必要なサービス

クラウド化で運用コスト削減

 オンプレミスシステムだと機器の更新コストが発生するので、クラウドサービスに切り替えることでコスト削減ができる場合がある。

  • オンプレミスのファイアウォールを「FWaaS」(Firewall as a Service)にする
  • 専用のスパムフィルター製品の代わりに、マルウェア対策機能「Microsoft Defenderウイルス対策」(Microsoft Defender Antivirus)といったツールのスパムフィルター機能を使う

4.オープンソースソフトウェア(OSS)や無償ツールの活用

  • IT資産管理:「GLPI」や「OCS Inventory NG」
  • EDR代替:「Wazuh」
  • SIEM代替:Wazuhと「Elasticsearch」の組み合わせ
  • 脆弱性診断:「OpenVAS」

5.無償AIツールの活用

 多額のAIセキュリティ投資が難しい場合でも、無償のAIツールを運用補助として生かすことができる。

  • ログを分析するための「SQL」生成をAIに補助してもらう
  • ログ分析メモやレポートの骨子作成
  • 社内通知文面の自動化

 上記を踏まえ、経営陣に「システムが守れている証拠」を提示して予算確保の土台を作ることも有効な取り組みになる。逆に言えば、成果を見せなければ、次年度もセキュリティ予算が増えない可能性が高い。次の予算を獲得しやすくするための指標として、主に以下のものがある。

  • セキュリティ事故未然防止数
  • パッチ適用遅延率の改善
  • EDR検知数の減少
  • IT資産管理率の向上
  • アクセス権限棚卸数

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る