セキュリティコストを抑制する5つの掟

日経 xTECH有料会員または、日経SYSTEMS購読者限定　現在は登録会員も閲覧可能です

新たな“掟”が必要になる

　新しい攻撃に対して、セキュリティ製品ベンダー各社も指をくわえて見ているわけではない。当然、新しい攻撃を防御する新製品や新機能をリリースしている。しかし、片っ端から対策を施してセキュリティを担保していると、際限なくコストは膨れ上がってしまう。

　実際に、セキュリティコストの抑制に頭を悩ませるユーザー企業は多い。大成建設の情報企画部 北村達也専任部長は「必要なところに必要な対策を打たないとコストが上昇するだけ。多重防衛になれば過剰投資につながる」と話す。つまり、セキュリティ対策とコストのバランスを取り、本当に必要な箇所にセキュリティ対策を施すことが、これまで以上に重要になるわけだ。

　本特集では、そのために必要なセキュリティ対策のポイントを、ユーザー企業やベンダーへの取材を通じて明らかにする。最新のサイバー攻撃の現状を踏まえ、（1）弱い部分から重点的に対策せよ、（2）リテラシーを高め自動化せよ、（3）身の丈に合った製品を選べ、（4）シフトレフトで設計段階から対策せよ、（5）クラウド標準機能を使いこなせ、という5つの「掟」を紹介しよう。

　セキュリティ対策ではまず、自社のセキュリティ状況を正しく把握することが求められる。守るべき部分が明確でなければ、「製品ベンダーに売りたい機器を勧められ、本来防御すべき場所とは違う場所に製品を導入してしまう」（NRIセキュアテクノロジーズのストラテジーコンサルティング部 十川基上級セキュリティコンサルタント）からだ。（1）の掟を守り、自社のリスクが高い部分から対策を施したい。

　前述したBECのように、対策製品の導入だけでは対処できない攻撃への備えも重要度を増している。ネットワークの境界だけを監視していても検知できない攻撃には、社員のリテラシーを高め、怪しいメールが到着したら適切なアラートを挙げられる仕組みが重要になる。これが（2）の掟につながる。

　セキュリティ製品を選ぶ際は、正しく運用できるといった視点で選択することも大切だ。いくら高価なセキュリティ製品を導入しても、運用できなければ宝の持ち腐れになってしまう。アラートを無視する、ログが多すぎて確認しきれない、といった状態では、そもそも製品を導入しても効果は薄い。これに対処するのが（3）の掟だ。

　システム開発のプロセスで、いかにセキュリティを担保していくかもコストに大きく影響する。コストを抑えるために、できるだけ上流の工程でセキュリティを考慮すべきというのが（4）の掟だ。

　最後の掟（5）は、クラウドシステムのセキュリティに関するものだ。クラウドへの移行が進む中、クラウド環境に合わせたセキュリティ対策が必要になっている。

　セキュリティ対策の製品やサービスは、防御対象とする攻撃によってその種類や必要なコストは様々だ。以下に、主なセキュリティ製品群と、その参考価格を掲載した。多岐にわたる製品、サービスの中から自社に最適な対策を施す必要がある。

　自社のIT予算が限られていても、対策が必要な脅威を見極め、適切な製品を導入することで、セキュリティコストは抑えられる。

　それでは次回から、5つの掟について見ていこう。