CISOの相談室 第17回 不況時のセキュリティ対策 不況時の限りあるセキュリティ対策予算をどのように使うべきか? | ScanNetSecurity
2021.10.21(木)

CISOの相談室 第17回 不況時のセキュリティ対策 不況時の限りあるセキュリティ対策予算をどのように使うべきか?

 前回から3つのテーマに分けて不況時のセキュリティ対策について考察しています。今回はその2つ目のテーマとして、不況時のセキュリティ予算の使い方とその情報源について解説します。

特集 特集
 前回から3つのテーマに分けて不況時のセキュリティ対策について考察しています。今回はその2つ目のテーマとして、不況時のセキュリティ予算の使い方とその情報源について解説します。

●セキュリティ対策の効率化

 2009年度IT投資額について、日本ガートナー、CIO Magazine、IDC Japanなどの調査会社が次々に減少と報じました。同様にミック経済研究所が5月15日に発表した「2009年度IT投資額の動向調査」によれば、2009年度のIT投資額は2008年度に比べ7.8%減少する見通しだそうです。IT予算が「減少する」と答えた企業はアンケートに答えた企業全体の40%を超え、「増加する」と答えた企業は全体の10%程度でした。

 この様な状況下では、IT予算全体の見直しと共に、セキュリティ対策の効率化が重要になります。具体的な作業とその流れとしては、(1)現在の対策とコストの把握、(2)最低限実施しなければならない対策の把握、(3)何が足りないか、何が過剰なのかの分析、(4)費用対効果の検討、となります。

●既存のセキュリティ対策とコストを計算する

 セキュリティ対策の効率化を実施するには、まず前準備として、既存のセキュリティ製品(サービス)などのセキュリティ対策の資産を一覧表にします。一覧には購入後使用していないものも含んでください。そして、各ソリューションの適用範囲と、その月額コストも記入します。セキュリティ対策のコストには、製品(サービス)の購入代金、製品(サービス)のメンテナンス料金、ソフトウェアの更新費用、コンサルティング費用、人件費、家賃、光熱費などがあります。

 我々セキュリティ関連事業者がよく耳にする話に、「セキュリティ製品を購入したが、ネットワーク環境に適応しなかったために、サーバルームの一角に放置している。」などがあります。しかも、その製品のために毎年のソフトウェア更新費用や年間のサポート料金を数十万、場合によっては数百万も支払っているのです。本当に無駄で、経営者が聞いたら激怒することでしょう。セキュリティ対策資産の洗出しは、同時に無駄が無いかのチェックにもなりますから、セキュリティ管理者以外の者が私情を挟まずに実施した方が正確な結果が出せますね。

●最低限実施しなければならない対策を知る

 自社のセキュリティ対策レベルを把握するには、下記のサイトが便利です。「組織の情報セキュリティ対策自己診断テスト」では、更に詳細な組織情報セキュリティ診断を行えます。

情報処理推進機構:情報セキュリティ:中小企業向け 情報セキュリティ対策
http://www.ipa.go.jp/security/manager/know/sme-guide/index.html
情報処理推進機構:情報セキュリティ:組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク
http://www.ipa.go.jp/security/benchmark/index.html

●何が足りないのか? 対策の抜けを確認する

 これらの診断により、対策に抜けが無いか、過剰な対策が無いかが判断できます。対策に不足があれば、まず費用をかけないで対策が取れないかを検討します。無理であれば価格が安く性能が高い製品やサービスを探すように心がけましょう。

 PCやサーバーの故障や誤操作などにより、データが消えてしまった場合はどうしていますか?バックアップシステムがあれば、このような不測の事態であっても、バックアップを取得した日時までのデータを復旧することが可能です。

 セキュリティ上の事故が起きたときの緊急時マニュアルはありますか? 実際に事故が起きてからだと、冷静に考える余裕がなくなることで対応が遅くなり、それが原因でさらに深刻な事態になりがちです。

●過剰な対策は思い切って止めてしまうことも

 逆に、過剰な対策、無駄な対策、効果が上がっていない対策があれば、思い切って止めてしまうことも必要です。セキュリティと利便性はトレードオフの関係にあります。効果が無いのにもかかわらず、高額をかけて利便性やスループットがひどく低下しているのであれば、ビジネスのボトルネックを自ら招いていることになります。

 PC毎にバラバラなベンダーのウイルス対策ソフトがインストールされていませんか? ウイルス対策ソフトを一元化して同じ製品をライセンス購入することで、集中管理機能が利用できたり、ボリュームディスカウントを受けられるメリットがあります。

 ゲートウェイ(インターネットとの接続ポイント)に重複したセキュリティを設置していませんか? 例えば、専用ファイアウォールを利用しているのにもかかわらず、ルータのファイアウォール機能も利用していたり、ISPのウイルス対策サービスを受けているのにもかかわらず、メールサーバ用ウイルス対策アプライアンスを導入していませんか?

 個人認証や暗号化などのセキュリティのために業務の利便性が極端に低下していませんか? また、PCやネットワークが頻繁にダウンしたり、遅くなっていませんか? セキュリティ対策の大原則に、対策費用が被害額を超えてはいけないというのがあります。セキュリティ費用には、製品料金、運用料金、人件費、利便性の低下による費用などがあります。また、被害額には、実被害額、営業機会の損失や信用失墜を回復するための経費、謝罪費などがあります。

 組織的なセキュリティ対策には、技術的セキュリティのみならず、物理的なセキュリティや人的セキュリティも重要です。それは、実際の事故や事件がウイルスやハッキングなどの技術的な脅威以上に、管理不行届きやポリシー違反など人的エラーで起こっているケースが多いためです。セキュリティ対策とは、事故や事件などの企業リスクをできるだけ低減させる取組みです。効率的な予算の使い方は、無駄が無く、最低限の技術的対策を実施した上で、管理的側面や人的側面をもカバーしたバランスの良い使い方でなければなりません。

●価格が安く、性能が高い製品やサービスを探す

 各種のセキュリティサービス業者を比較検討するには、「情報セキュリティ監査企業台帳」が便利です。

情報セキュリティ監査企業台帳
http://www.meti.go.jp/policy/netsecurity/is-kansa/

●効率化により「管理」や「教育」にも着手する

 自社の社員のセキュリティ知識レベルと、自社の業種全体の中でのセキュリティレベルを把握するためには、JNSAの「情報セキュリティ理解度チェック」がお奨めです。

JNSA:情報セキュリティ理解度チェック
http://slb.jnsa.org/eslb/

 効果的なセキュリティ対策は、当然ながら管理者だけが一生懸命になっているだけでは駄目です。社員一人一人のモラル、意識、知識レベルの向上が必要です。

 IPAの「中小企業の情報セキュリティ対策確認手法に関する実態調査」によると、大企業と中小企業の対策実施率に年々差異が生じていることがわかっています。

情報処理推進機構:情報セキュリティ:調査・研究報告書:中小企業の情報セキュリティ対策確認手法に関する実態調査
http://www.ipa.go.jp/security/fy19/reports/sme/index.html

 差異が最も著しいのは「セキュリティポリシーの策定」で、それ以外にも「セキュリティ管理者の配置」や「従業員に対する情報セキュリティ教育」などの対策について年々差異が広がっています。一方、「セキュリティ監視ソフトの導入」は年々その差異が無くなっています。ちなみに中小企業で一番頭の痛い「セキュリティポリシーの策定」ですが、サンプルがここにありますので参考にすると無駄な出費を抑えることができます。

情報セキュリティポリシー・サンプル0.92a版
http://www.jnsa.org/policy/guidance/index.html

 「中小企業だから大手企業のようにはできない」と、はじめから諦めていませんか?セキュリティ対策の効率化が実施できれば、今まで不可能であった管理面や教育面にも予算を割ける可能性が大いに出てきます。

●無料でも質の高い情報や教育はたくさんある

 企業の管理者が最低限知っておくべきセキュリティ速報を無料で入手するためには…

【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@ns-research.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
CISOの相談室 第15回 不況時のセキュリティ対策 不況時のセキュリティ対策予算の現状は?【前編】
https://www.netsecurity.ne.jp/7_13411.html
CISOの相談室 第16回 不況時のセキュリティ対策 不況時のセキュリティ対策予算の現状は?【後編】
https://www.netsecurity.ne.jp/7_13451.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×