セキュリティコストは必要不可欠？セキュリティ投資5つの失敗例とは

企業におけるセキュリティ対策は必須！

企業にとって、顧客情報や個人情報などは絶対に守らなくてはならない大切な情報です。

これらがもし漏れたりした場合は、多額の損害賠償を請求される恐れもあり、企業としては攻撃にさらされないような体制を取ることを求められています。

サイバー攻撃の危険度は年々増加傾向にある

しかし、国⽴研究開発法⼈ 情報通信研究機構のサイバーセキュリティ研究室が発表したデータによると、サイバー犯罪の兆候は増加傾向にある、ということがわかります。

参照：NICTER 観測レポート 2018｜国⽴研究開発法⼈ 情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティ研究室

「正しいセキュリティ投資」で会社を守る

昨今、IoT化が進み、企業の生産活動においてもインターネットの重要性は増しています。そうなれば、当然企業側もコストを掛けて、セキュリティ投資を行います。

ですが、中には「間違ったセキュリティ投資」をしてしまい、失敗してしまうということもあります。今回は、そんなセキュリティ投資に失敗しないためにチェックしておいてほしい5つの失敗例を紹介していきます。

セキュリティ投資　５つの失敗例

セキュリティ投資を行う際にやってしまいがちな失敗を5つ紹介していきます。自社でセキュリティ投資を行う際の参考にしてください。

1.適切な予算を確保するための判断材料がない

情報セキュリティ投資は、リスク管理の一環です。したがって、被害の発生確率と被害額を見積もり、サイバー攻撃対策ツール等を導入することで、被害がどれだけ軽減されるかを算出する必要があります。これができていないと、経営者に正しい投資判断の材料がないため、適切な予算を設定できなくなります。

リスクの大きさを算出することはとても難しく、専門家の参画が必要になります。失敗している企業の多くは、専門家の参画を軽視しているようです。

2.専門家に聞かない

専門家を参画させない弊害は、予算設定の失敗だけではありません。情報セキュリティは専門性の高い分野である上、サイバー攻撃の手口は日々巧妙化しています。情報システム部門の日々の業務をこなしながら、情報セキュリティの専門性も高めていくのは困難です。

したがって、専任技術者を置くか外部の専門家に支援を依頼することが必要不可欠になるのです。

しかし、過去に有効だった対策がすぐに通用しなくなる世界であるため、専門家と言っても日々新しい情報を入手し、勉強をしていく必要があります。こうした努力を怠っている「専門家」の言うことを聞き過ぎて失敗する可能性もあるため、自身の選択眼を磨くことが必要です。

3.社外との情報共有を怠る

情報セキュリティに関する情報は、専門家だけではなく、他社の情報システム部門や政府等の公共機関も持っています。失敗する企業は、社外との情報共有を怠っていることが多いようです。

他社の情報システムと横のつながりがあれば、どの会社に専門家がいるか、セキュリティ関連のサービスを受けるならどの企業が良いか、どのようなツールがよいかなどを知ることができます。

公共機関に関しては、匿名でインシデント情報を共有するシステムを持っている機関があります。こうしたシステムから最新情報を入手していくことも大切です。

4.規定作りや教育に力を入れない

どんなに機能・性能に優れた製品・サービスを導入しても、情報セキュリティを支えるのは、結局は人です。情報漏えいも、外部からの侵入よりも内部の関係者などによる「人的要因」がほとんどであることを忘れてはいけません。

本人に悪意がなくても、不注意や無知から情報漏えいをしてしまうケースもあります。重要情報が格納されたノートパソコンを置き忘れてしまったり、標的型攻撃メールの悪意のある添付ファイルを開いてしまうといったケースです。これらはサイバー攻撃対策ツールを導入するだけでは解決しません。規定を整備し、ユーザを教育することで防ぐことができます。

また、「出来心」で犯罪に手を染めることのないように、不正アクセスログや操作ログを採取していることを周知して、抑止効果を狙うことも必要です。

5.製品・サービスの選定ポイントが明確でない

情報セキュリティは難しいので、最新・高価格な製品・サービスを短絡的に選択して導入すると、結果的に目的と合致せず、多大な投資が無駄になることがあります。製品・サービスの導入を検討する際は、選定ポイントを明確にすることが大切です。

選定ポイントを抑えて自社にあった製品を選定！

主な選定ポイントは以下のとおりです。

• ●予算内である（リスクの大きさを算定していることが前提です）
• ●導入目的が明確で、それと合致している
• ●導入と運用が容易である
• ●設定やカスタマイズが柔軟にできる
• ●採取するログが自社で知りたいデータを網羅している
• ●24時間365日の専門的なサポートがある

こうしたポイントを評価しながら、自社の体制・体力に合わせて、導入形態（パッケージ、アプライアンスサーバ、クラウドサービス、アウトソーシングなど）を決定します。

最近は多目的に対応しているツールが多く、その一部の機能で対応できてしまうことがあります。単機能のツールよりも高機能だったり、その機能だけを単体で導入できるケースもあるため、まずは問い合わせしてみることをお勧めします。

以上を参考に、失敗しないサイバー攻撃対策製品・サービス選びをしてください。

関連記事

watch_later 2020.03.12

サイバー攻撃対策ツールを比較！選定ポイント・対策の注意点は？

続きを読む ≫