セキュリティ投資でありがちな5つの失敗例

セキュリティ投資　５つの失敗例

失敗例1　適切な予算を確保するための判断材料がない

情報セキュリティ投資は、リスク管理の一環です。したがって、被害の発生確率と被害額を見積もり、サイバー攻撃対策ツール等を導入することで、被害がどれだけ軽減されるかを算出する必要があります。これができていないと、経営者に正しい投資判断の材料がないため、適切な予算を設定できなくなります。

リスクの大きさを算出することはとても難しく、専門家の参画が必要になります。失敗している企業の多くは、専門家の参画を軽視しているようです。

失敗例2　専門家に聞かない

専門家を参画させない弊害は、予算設定の失敗だけではありません。情報セキュリティは専門性の高い分野である上、サイバー攻撃の手口は日々巧妙化しています。情報システム部門の日々の業務をこなしながら、情報セキュリティの専門性も高めていくのは困難です。したがって、専任技術者を置くか外部の専門家に支援を依頼することが必要不可欠になるのです。

過去に有効だった対策がすぐに通用しなくなる世界であるため、専門家と言っても日々新しい情報を入手し、勉強をしていく必要があります。こうした努力を怠っている「専門家」の言うことを聞き過ぎて失敗する可能性もあるため、選択眼を磨くことが必要です。

失敗例3　社外との情報共有を怠る

情報セキュリティに関する情報は、専門家だけではなく、他社の情報システム部門や政府等の公共機関も持っています。失敗する企業は、社外との情報共有を怠っていることが多いようです。

他社の情報システムと横のつながりがあれば、どの会社に専門家がいるか、セキュリティ関連のサービスを受けるならどの企業が良いか、どのようなツールがよいかなどを知ることができます。

公共機関に関しては、匿名でインシデント情報を共有するシステムを持っている機関があります。こうしたシステムから最新情報を入手していくことも大切です。

失敗例4　規定作りや教育に力を入れない

どんなに機能・性能に優れた製品・サービスを導入しても、情報セキュリティを支えるのは、結局は人です。情報漏えいも、外部からの侵入よりも内部の関係者が原因であることの方が多い、ということを忘れてはいけません。

本人に悪意がなく、不注意で情報漏えいをしてしまうケースもあります。重要情報が格納されたノートパソコンを置き忘れてしまったり、標的型攻撃メールの悪意のある添付ファイルを開いてしまうといったケースです。これらはサイバー攻撃対策ツールを導入するだけでは解決しません。規定を整備し、ユーザを教育することで防ぐことができます。

また、「出来心」で犯罪に手を染めることのないように、不正アクセスログや操作ログを採取していることを周知して、抑止効果を狙うことも必要です。

失敗例5　製品・サービスの選定ポイントが明確でない

情報セキュリティは難しいので、最新・高価格な製品・サービスを短絡的に選択して導入すると、結果的に目的と合致せず、多大な投資が無駄になることがあります。製品・サービスの導入を検討する際は、選定ポイントを明確にすることが大切です。

主な選定ポイントは以下のとおりです。

• 予算内である（リスクの大きさを算定していることが前提です）
• 導入目的が明確で、それと合致している
• 導入と運用が容易である
• 設定やカスタマイズが柔軟にできる
• 採取するログが自社で知りたいデータを網羅している
• 24時間365日の専門的なサポートがある

こうしたポイントを評価しながら、自社の体制・体力に合わせて、導入形態（パッケージ、アプライアンスサーバ、クラウドサービス、アウトソーシングなど）を決定します。 最近は多目的に対応しているツールが多く、その一部の機能で対応できてしまうことがあります。単機能のツールよりも高機能だったり、その機能だけを単体で導入できるケースもあるため、まずは問い合わせしてみることをお勧めします。

以上を参考に、「失敗しないサイバー攻撃対策製品・サービス選び」をしてください。