[学術研究] 主要セキュリティ対策の費用対効果ランキング
2016 年暮れに経済産業省から出された「サイバーセキュリティ経営ガイドライン Ver 1.0」の最初のページに載っていた、ある言葉を忘れられない人は少なくないかもしれません。
調査・レポート・白書
調査・ホワイトペーパー
同ガイドライン「経営者が認識する必要がある『3原則』」の段落冒頭には「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」と書かれていました。
事業会社としての売上や利益を、セキュリティ対策自身が直接生み出すことはできないという意味でこれは全面的に正しい記述でしたが、日本のセキュリティ対策の歴史的にも極めて意義の大きいドキュメントの本文第 1 ページに書かれた、スポーツブランドの NIKE でなくても聞き捨てならないこの言葉のあまりの潔さに、試合開始早々ホイッスルも鳴り終わらぬうちに、エースストライカーがオウンゴールを決めたかのような戦慄を味わった人は、決して少なくなかったと思います。
もちろんセキュリティ対策にとって最大の制約条件のひとつであるコストとその効果を測るのは容易ではありません。
そもそもこれまで、セキュリティ対策の費用対効果を分析する方法は一般にほとんど普及していませんでした。せいぜい「売上や利益の n %が IT 予算」「 IT 予算の x %がセキュリティ予算」といった、費用対効果以前の、おおざっぱな「目安」がある程度でした。
実に多くのケースで「ファイアウォール」「IDS/IPS」「WAF」等々、代表的製品一覧の表をもとに、たとえば「ファイアウォール ○ 導入済」「IDS/IPS ○ 導入済」「WAF × 未導入」であれば、WAF の導入を営業担当者やコンサルタントが提案するような、段階的に、順番に、投資が進められてきました。
投資効果を明確に数値化できないことは、セキュリティ投資に腹落ちできない原因でもあり、一種の不信感にすらつながることもありました。
一方で近年は、そのときどきに必要となったセキュリティ対策を、年を経るごとに次々とサイロ的に「足し算」して増やしてきた時代から、いまある対策をどう組み合わせ効率化を図り最適解を考えるか、場合によって一部の対策の重要度を下げるなど「引き算」のセキュリティ対策も必要になってきています。
こうした状況のもとで注目されている学術研究があります。
「多重リスクコミュニケーター(MRC:Multiple Risk Communicator)」というコンセプトのもと、「資産」「サイバー攻撃」「セキュリティ対策」を相関的に分析することで、「ファイアウォール」「アンチウィルスソフト」「サンドボックス」「SIEM」「SOC」など 10 を超える主要セキュリティ対策の費用対効果性能を算定・比較し、予算規模別の最適な対策の組み合わせを提案した研究です。
この研究の対象となったセキュリティ対策は下記 13 種です。
1.メールフィルタの導入
2.サンドボックス型メールセキュリティ対策
3.標的型攻撃対策訓練の実施
4.エンドポイント型セキュリティ対策
5.アンチウィルスソフトを最新の状態に保つ
6.PCやサーバのパッチの最新化
7.プロキシによる監視
8.ファイアウォールでのポート制御
9.サンドボックス型セキュリティ対策
10.外部SOC
11.セグメント間の通信の制限
12.個人情報の速やかな削除
13.統合ログ監視ツールの導入
編集部は今春、同研究の責任者に直接話を聞く機会を得ました。
本稿では、具体的にどのような手順で、それぞれのセキュリティ対策の費用対効果を算出したのか、上記 13 種のセキュリティ対策を「費用対効果」という視点から見たとき、果たしてどの対策が優れているのか、予算規模による最適な組み合わせは何か、詳しく話を聞きました。
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際Salesforce が共和党へのサービス提供を停止した仔細
民主主義統治への擾乱を助長する組織に対して距離を置くことを決めた IT 企業の列に、Amazon、Twitter、Facebook に続いてクラウド CRM(顧客管理システム)最大手の Salesforce が新たに加わった。
-
Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)
Microsoft OS の遠隔管理ツールである Sysinternals Suite の PsExec に、SYSTEM 権限の奪取が可能となる手法が公開されています。
-
とんだ新年挨拶、証明書期限切れでCheck Point VPNの一部ユーザーが混乱
Check Point社の一部顧客が頭の痛い正月を迎えたのは、二日酔いのせいだけではなかったようだ。パッチの適用が遅れたために、中にはシステムが操作不能のままとなったり修正が困難な状況が続いているケースもある。
-
2020 総括/SolarWinds 介しサプライチェーン攻撃/不完全パッチによる残留 0day 公開 ほか [Scan PREMIUM Monthly Executive Summary]
2020 年最後の月は、インシデントが多く報じられました。まず、米国政府 機関などへの SolarWinds 社製品を介したサプライチェーン攻撃は、米国土安 全保障省( DHS )が緊急指令を発出するなど、世界的な注目を集めました。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性
ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み
Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)
SKYSEA Client View のインストーラに DLL 読み込みに関する脆弱性
インシデント・事故 記事一覧へ
「スポーティングシティマツヤマ.com」に不正アクセス、不審な投稿や個人情報へのアクセス確認
原子力規制委員会 メール誤送信、核燃料・核原料使用者のアドレス流出
花卉卸売大手のWebサイトに不正アクセス、不審メール送信の踏み台に
消防本部が迷惑メールの踏み台に、メール遅延発生
kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出
カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認
調査・レポート・白書 記事一覧へ
2021年の 5 つのセキュリティ脅威、CrowdStrike 予測
2020年度版「CrowdStrike グローバルセキュリティ意識調査」発表、ランサムウェアが世界的懸念に
CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )
2020年上場企業情報漏えい統計、原因最多はウイルス感染と不正アクセス
IDC予測、2024年までのセキュリティ製品サービス市場規模
企業 IT予算 増加基調維持、コロナ対応による予算増など要因
研修・セミナー・カンファレンス 記事一覧へ
我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法
SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策
CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信
NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催
セキュリティインシデントの当事者になったその後
