セキュリティ対策費を確保するならリスクベースで語れ

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

セキュリティ対策費を確保するならリスクベースで語れ

2017/11/21


 「ITセキュリティに対しての投資を行わない」という企業は、ほぼ存在しない。常にサイバー攻撃は企業を狙っており、もはや「侵入されていない企業はない」とまでいわれるほどだ。だが、「どのように投資すべきか」という入り口で間違えてはいないだろうか。

セキュリティ投資

投資額を増やせばITセキュリティ対策は万全、ではない

 規模の大小はあるが、企業における情報漏えい事件が後を絶たない。また、ランサムウェアなどを使ったサイバー攻撃の被害も多く報告されている。このような現実を踏まえ、多くの企業はITセキュリティを「戦略的投資」と考えはじめている。

 情報処理推進機構(IPA)が発表した「2016年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、ITセキュリティに対する投資額は業種を問わず、ある程度の金額が積まれていることが分かる。

図1 業種別のセキュリティ対策投資額
図1 業種別のセキュリティ対策投資額
出典:IPA「2016年度中小企業における情報セキュリティ対策に関する実態調査」

+拡大

 この多くは「100万円未満」だ。しかし、「投資額を増やせばITセキュリティ対策は万全だ」という考え方は間違っている。どんなに投資したとしても間違った方向に進んでいれば、何もしていないことと変わらない。むしろ誤った投資が作り出す空虚な安心感こそが、ITセキュリティで大きな隙を作る要因となってしまう。

 この「投資に対する考え方」について、米マカフィーのチーフ テクニカル ストラテジストであるキャンディス・ウォーリー氏が興味深い考察を加えている。2017年10月に米ラスベガスで開催された同社主催イベント「MPOWER」の講演から、セキュリティ投資の戦略について紹介しよう。その入り口は、ボードゲームにあるという。


1

ボードゲーム「リスク」が教えてくれるもの

 「皆さんは『ブラックホーク・ダウン』という映画を見たことがあるでしょうか。その中で、『誰も置き去りにしない、知っているだろう?(No man left behind, you know that.)』という象徴的なせりふがあります。しかし、デジタルセキュリティの世界では、時と場合のよっては置き去りにせざるを得ないこともあるのです。それをどのように、あらかじめ警戒しておくかが重要です」とウォーリー氏は切り出す。

 軍事の格言や考え方は、ビジネスにも適用されることが多い。そしてスキルを付けるためには映画やゲームなどは有用だ。

 ウォーリー氏は「リスク」というボードゲームを例に出す。これは世界地図を模したボード上で、複数の参加者がそれぞれの軍隊を指揮し、他国を侵略したり、自国の領土を死守したりするゲームだ。軍隊を攻撃だけに使うと防御面が弱くなり、他国から侵略されるきっかけとなり得る。持っているリソースを侵略、防御にどう割り振りし、補給をどのようにバランス良く行えるかが勝利の鍵となる。

 ボードゲームのリスクでは、勝者には4つの戦略がある。それは「持っている領土を守る」「敵の攻撃力をそぐ」「攻撃面となる国境を最低限に抑える」「領土の周りにバッファーゾーンを作る」というものだ。実は、これがITセキュリティ戦略と似ているとウォーリー氏は語るのだ。持っているものを守り、それを取られることを防ぐ、攻撃表面を減らす。確かに、これは今日いわれているセキュリティ対策と同じだ。

キャンディス・ウォーリー氏
米マカフィー チーフ テクニカル ストラテジスト

セキュリティ情報局にご登録頂いた方限定で「セキュリティ対策費を確保するならリスクベースで語れ」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ投資/セキュリティ対策費を確保するならリスクベースで語れ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ投資」関連情報をランダムに表示しています。

セキュリティ投資」関連の製品

約60%のセキュリティ担当者がデータ侵害を経験、今重視すべき要件は何か? 【マカフィー】
DLP
約60%のセキュリティ担当者がデータ侵害を経験、今重視すべき要件は何か?

セキュリティ投資」関連の特集


標的型メール攻撃など、攻撃手段が巧妙化し、当該製品のニーズが高まる中、シェア1位と獲得したベンダとは…



標的型サイバー攻撃など従来の境界防御の限界が見えてきた今、セキュリティに求められる新たな姿とは?アナ…



 企業経営においての最も大きなリスクは、いつも「経済不確実性」であった。しかしながら、ここ最近「IT…


「その他エンドポイントセキュリティ関連」関連の製品

デバイスの利用禁止/接続先ネットワークの制限 秘文 Device Control 【日立ソリューションズ】 超高速秘密分散ソリューション 「SYMPROBUS Divide API」 【アクモス】 多様化する脅威に立ち向かうCSIRT、ジャパンネット銀行が体得した3つのコツ 【富士通株式会社】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
スマートフォン、USBメモリなど様々なデバイスの利用を制限
Wi-Fi制御、VPN利用の強制
マルウェア対策製品と連携し、感染PCのネットワーク通信を自動遮断、感染拡大を防止
電子ファイルを解読不能な断片に超高速で分散するクラウドAPIサービス。暗号化とは異なり、断片ファイルが漏えいしても解読は不可能。DR対策や複数人認証にも応用できる。 多様化する脅威に立ち向かうCSIRT、ジャパンネット銀行が体得した3つのコツ

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30009891


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ