[学術研究] 主要セキュリティ対策の費用対効果ランキング | ScanNetSecurity
2019.11.17(日)
コンテンツ
注目検索ワード
ホーム 調査・レポート・白書 調査・ホワイトペーパー 記事

[学術研究] 主要セキュリティ対策の費用対効果ランキング

2016 年暮れに経済産業省から出された「サイバーセキュリティ経営ガイドライン Ver 1.0」の最初のページに載っていた、ある言葉を忘れられない人は少なくないかもしれません。

調査・レポート・白書 調査・ホワイトペーパー
 2016 年暮れに経済産業省から出された「サイバーセキュリティ経営ガイドライン Ver 1.0」の最初のページに載っていた、ある言葉を忘れられない人は少なくないかもしれません。

 同ガイドライン「経営者が認識する必要がある『3原則』」の段落冒頭には「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」と書かれていました。

 事業会社としての売上や利益を、セキュリティ対策自身が直接生み出すことはできないという意味でこれは全面的に正しい記述でしたが、日本のセキュリティ対策の歴史的にも極めて意義の大きいドキュメントの本文第 1 ページに書かれた、スポーツブランドの NIKE でなくても聞き捨てならないこの言葉のあまりの潔さに、試合開始早々ホイッスルも鳴り終わらぬうちに、エースストライカーがオウンゴールを決めたかのような戦慄を味わった人は、決して少なくなかったと思います。

 もちろんセキュリティ対策にとって最大の制約条件のひとつであるコストとその効果を測るのは容易ではありません。

 そもそもこれまで、セキュリティ対策の費用対効果を分析する方法は一般にほとんど普及していませんでした。せいぜい「売上や利益の n %が IT 予算」「 IT 予算の x %がセキュリティ予算」といった、費用対効果以前の、おおざっぱな「目安」がある程度でした。

 実に多くのケースで「ファイアウォール」「IDS/IPS」「WAF」等々、代表的製品一覧の表をもとに、たとえば「ファイアウォール ○ 導入済」「IDS/IPS ○ 導入済」「WAF × 未導入」であれば、WAF の導入を営業担当者やコンサルタントが提案するような、段階的に、順番に、投資が進められてきました。

 投資効果を明確に数値化できないことは、セキュリティ投資に腹落ちできない原因でもあり、一種の不信感にすらつながることもありました。

 一方で近年は、そのときどきに必要となったセキュリティ対策を、年を経るごとに次々とサイロ的に「足し算」して増やしてきた時代から、いまある対策をどう組み合わせ効率化を図り最適解を考えるか、場合によって一部の対策の重要度を下げるなど「引き算」のセキュリティ対策も必要になってきています。

 こうした状況のもとで注目されている学術研究があります。

 「多重リスクコミュニケーター(MRC:Multiple Risk Communicator)」というコンセプトのもと、「資産」「サイバー攻撃」「セキュリティ対策」を相関的に分析することで、「ファイアウォール」「アンチウィルスソフト」「サンドボックス」「SIEM」「SOC」など 10 を超える主要セキュリティ対策の費用対効果性能を算定・比較し、予算規模別の最適な対策の組み合わせを提案した研究です。

 この研究の対象となったセキュリティ対策は下記 13 種です。

1.メールフィルタの導入
2.サンドボックス型メールセキュリティ対策
3.標的型攻撃対策訓練の実施
4.エンドポイント型セキュリティ対策
5.アンチウィルスソフトを最新の状態に保つ
6.PCやサーバのパッチの最新化
7.プロキシによる監視
8.ファイアウォールでのポート制御
9.サンドボックス型セキュリティ対策
10.外部SOC
11.セグメント間の通信の制限
12.個人情報の速やかな削除
13.統合ログ監視ツールの導入

 編集部は今春、同研究の責任者に直接話を聞く機会を得ました。

 本稿では、具体的にどのような手順で、それぞれのセキュリティ対策の費用対効果を算出したのか、上記 13 種のセキュリティ対策を「費用対効果」という視点から見たとき、果たしてどの対策が優れているのか、予算規模による最適な組み合わせは何か、詳しく話を聞きました。

《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

三菱電機製シーケンサのFTPサーバ機能に脆弱性(JVN) 画像

三菱電機製シーケンサのFTPサーバ機能に脆弱性(JVN)
Intelが複数の製品に対するアップデートを公開(JVN) 画像

Intelが複数の製品に対するアップデートを公開(JVN)
マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC) 画像

マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)
CMS「Movable Type」にフィッシングなどに遭う脆弱性(JVN) 画像

CMS「Movable Type」にフィッシングなどに遭う脆弱性(JVN)
「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会) 画像

「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)
「Anti-Threat Toolkit」に任意コード実行の脆弱性(トレンドマイクロ、JVN) 画像

「Anti-Threat Toolkit」に任意コード実行の脆弱性(トレンドマイクロ、JVN)

インシデント・事故 記事一覧へ

集団市民健診で個人情報が記載された問診票等を委託先が紛失(交野市) 画像

集団市民健診で個人情報が記載された問診票等を委託先が紛失(交野市)
遠足時に園児を撮影したデジカメを紛失(茅ヶ崎市) 画像

遠足時に園児を撮影したデジカメを紛失(茅ヶ崎市)
患者の個人情報記載書類入りバッグが車上荒らしに(半田病院) 画像

患者の個人情報記載書類入りバッグが車上荒らしに(半田病院)
非常勤講師が個人情報が記録されたUSBメモリを紛失(奈良学園) 画像

非常勤講師が個人情報が記録されたUSBメモリを紛失(奈良学園)
「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス) 画像

「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)
県内企業へのイベント案内メールを誤送信、260社分のアドレスが流出(新潟県) 画像

県内企業へのイベント案内メールを誤送信、260社分のアドレスが流出(新潟県)

調査・レポート・白書 記事一覧へ

PQCの脅威は意識しつつも、具体策の意識に欠ける日本(デジサート) 画像

PQCの脅威は意識しつつも、具体策の意識に欠ける日本(デジサート)
クラウドセキュリティで日本の遅れが顕著に(KPMGコンサルティング、日本オラクル) 画像

クラウドセキュリティで日本の遅れが顕著に(KPMGコンサルティング、日本オラクル)
サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ) 画像

サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)
IoTセキュリティのホワイトペーパー公開、自治体などの先進事例も紹介(AWS) 画像

IoTセキュリティのホワイトペーパー公開、自治体などの先進事例も紹介(AWS)
注目の個人起点アイデンティティ活用「SSI」「DID」(野村総合研究所、NRIセキュア、JCB) 画像

注目の個人起点アイデンティティ活用「SSI」「DID」(野村総合研究所、NRIセキュア、JCB)
実際に金銭被害が発生したBEC報告が1件--J-CSIP運用状況(IPA) 画像

実際に金銭被害が発生したBEC報告が1件--J-CSIP運用状況(IPA)

研修・セミナー・カンファレンス 記事一覧へ

経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは 画像

経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは
サイバーミステリー作家とジャーナリストが偽情報について講演(FIJ) 画像

サイバーミステリー作家とジャーナリストが偽情報について講演(FIJ)
Mandiant Consulting カリスマコンサルタントとサイバーセキュリティ界の「笑わない男」 画像

Mandiant Consulting カリスマコンサルタントとサイバーセキュリティ界の「笑わない男」
編集長対談:JPAAWG に聞く、技術者の議論のやりかた 画像

編集長対談:JPAAWG に聞く、技術者の議論のやりかた
新技術に対応するセキュリティ運用とは [Internet Week 2019] 画像

新技術に対応するセキュリティ運用とは [Internet Week 2019]
「利用するツールの数とSOCの成熟度は比例しない」あなたのSOCをダメにする3つのパターン 画像

「利用するツールの数とSOCの成熟度は比例しない」あなたのSOCをダメにする3つのパターン

製品・サービス・業界動向 記事一覧へ

工場を要塞化するOTセキュリティ製品群を発表(トレンドマイクロ) 画像

工場を要塞化するOTセキュリティ製品群を発表(トレンドマイクロ)
「Windows 7よ永遠に」プログラム書き込み禁止でWindows 7を使い続けられるソフト(電机本舗) 画像

「Windows 7よ永遠に」プログラム書き込み禁止でWindows 7を使い続けられるソフト(電机本舗)
MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ) 画像

MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)
Cookie同意管理ツールなど、法規制に対応したデータ利活用で協業(GRCS) 画像

Cookie同意管理ツールなど、法規制に対応したデータ利活用で協業(GRCS)
Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック) 画像

Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)
日米 ISAC間でサイバー脅威情報共有を強化(総務省) 画像

日米 ISAC間でサイバー脅威情報共有を強化(総務省)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★10/8~11/30迄 創刊21周年記念価格提供中★★
★★10/8~11/30迄 創刊21周年記念価格提供中★★

2019年10月8日(火)~11月30日(土) の間 ScanNetSecurity 創刊21周年記念価格で提供。
×