セキュリティセキュリティ予算を、正しく配分できないのはなぜか?

Executive Summary

セキュリティ予算の大半をアプリではなくネットワークの保護に費やしている場合は、会社をリスクに過度にさらしている可能性があります。多くの企業は、リスクの変動に合わせて変化させるのではなく、「従来の投資」に基づいて支出しています。そのため、既知のベンダーへの従来の支出は容易に承認を得られるのに対して、定量化と経営陣への売り込みが難しい発展しつつあるリスク分野に対しては投資不足となる可能性があります。セキュリティとは、会社にとってどれほどのレベルのリスクなら許容できるのかを規定することであるため、それに応じた支出を正当化することができます。

Executive Summary

セキュリティ予算の大半をアプリではなくネットワークの保護に費やしている場合は、会社をリスクに過度にさらしている可能性があります。多くの企業は、リスクの変動に合わせて変化させるのではなく、「従来の投資」に基づいて支出しています。そのため、既知のベンダーへの従来の支出は容易に承認を得られるのに対して、定量化と経営陣への売り込みが難しい発展しつつあるリスク分野に対しては投資不足となる可能性があります。セキュリティとは、会社にとってどれほどのレベルのリスクなら許容できるのかを規定することであるため、それに応じた支出を正当化することができます。

ITセキュリティ予算を賢く割り当てることができていますか?

セキュリティ予算の大半を、アプリケーション・セキュリティやID管理など、ネットワークの境界対してに投じられているとしたら、その予算配分の比率は正しくない可能性があります。

25%近くの企業がアプリケーションを侵害源として認識している一方で、アプリケーション・セキュリティに投じる費用はIT予算の1%以下である、もしくは、いくら投じているかわからないとの回答が過半数

25 %近くの企業がアプリケーションを侵害源として認識している一方で、アプリケーション・セキュリティに投じる費用はIT予算の1%以下である、もしくは、いくら投じているかわからないとの回答が過半数を占めています。約3/4(74.5%)の企業が、自社のアプリケーション・セキュリティ・プログラムについて未成熟であると述べています。

さらには、ユーザ・アイデンティティの問題も存在します。誰に話を聞くかによっても変わってきますが、ID漏洩は侵害の原因の第1位、もしくは2位となっています。

74.5%

74.5%の企業が、自社のアプリケーション・セキュリティ・プログラムについて未成熟であると述べている

これらの数値は、にわかには信じがたいかもしれません。しかしながら、多くの企業で、ITセキュリティ予算の大半がネットワークの境界に対する保護に投じられています。もしこのケースに該当する場合、予算配分を考え直して見る必要があります。

「ネットワークの境界」は単なる幻想か?

モバイルデバイスの増加とクラウドアプリの普及に伴い、いたるところで侵入の可能性が高まっています。全世界で、十分な安全対策をしていない数百人、場合によっては数千人のユーザが、多種多様なアプリを用いて企業のデータにアクセスしています。多くの場合、使用されているのはセキュリティ対策がなされていないデバイスです。クラウドアプリはどのくらい普及しているのでしょうか。8割の組織が、現在クラウドでアプリケーションをホスティングしており、今年からアプリケーションの過半数をクラウド配信する予定であるという組織も2割存在します。2018年には、全世界で使用されるモバイルデバイスの数は120億台を超えるという予測もあります。あらゆる場所にアプリが置かれ、ユーザが多様なデバイスを使って接続する中、ネットワークの境界はすでに崩壊しているといっていいでしょう。

ID&アクセス管理はさらに複雑さを増しています。アプリがオンプレミス、プライベートクラウド、パブリッククラウドのいずれに置かれている場合でも、あるいはSoftware as a Service(SaaS)であったとしても、認証が必要なことに変わりはありません。平均的な企業では700種類のアプリが使用されており、そのことが公認されています。ユーザはパスワードの多さに辟易とし、IT部門はIDのスプロール化とアクセスをうまく管理できずにいます。

企業のネットワークでブロックされたことに気づいた時点で、サイバー犯罪者はだましやすいユーザを狙ってフィッシング攻撃を仕掛けるか、もしくは脆弱なWebアプリに侵入してきます。セキュリティの本質が以前とは変わってしまったといっていいでしょう。

セキュリティ予算の再配分のための4つのステップ

では、どう対応すべきか? 以下の4つのステップに従い、予算を再配分する必要があります。

Related

クラウドの4つの死角

Step 1. 保護が必要なものの優先順位をつける

IT部門が公式に開発・導入しているアプリについては比較的容易にチェックできますが、SaaSアプリは見逃される場合が多いので、注意が必要です。続いて、社員が使用しているシャドーITアプリ(企業の管理下にないITアプリ)を洗い出し、それらのリスクを評価します。これらのアプリを見つけるのは容易ではありません。事業部門に聞き取りを行い、Webフィルタリング・ソフトウェアのログをチェックし、SaaS事業者との間に交わしている契約を確認します。これらすべてを手作業で実施する必要があります。さらに、特定可能なあらゆるアプリの優先度を見極め、自社の安全をおびやかすアプリを保護する必要があります。

Step 2. 脅威に対し相応の予算が割り当てられているかどうかチェックする

ITセキュリティ予算の使い道はどうなっていますか? 正しい方向に進んでいるようであれば、何ら問題はありません。しかし、もし上級幹部がコンプライアンスにこだわるあまり、アプリケーションとIDのスプロール化にまつわる重大な脆弱性が見過ごされているようであれば、異議を申し立てる必要があります。調査の結果わかったことを文書にまとめることで、割り当てられている予算が少なすぎる、もしくは多すぎるエリアを知ることができます。

Step 3. 調査結果を報告する

調査結果を上級幹部と取締役会に報告します。現在、予算が投じられている分野と、保護が必要にもかかわらず予算が行きわたっていないその他の分野との間にギャップが生じていることを説明します。具体的な提案を行い、必要な予算を確保するために、望ましい投資の費用対効果分析を示せるよう、準備を整える必要があります。投資が必要な分野としては、ID&アクセス管理、アプリケーション・セキュリティ管理、最新のファイアウォール・ソリューションなどが考えられます。

Step 4. 統制を実施し、どのように脅威に対応しているかを示す

追加予算の用途を文書にまとめ、追跡を行い、事実に基づく報告書を取締役会と上級幹部に提出します。侵害を受ける可能性は完全になくなったわけではありません。よって、サイバー保険に加入し、インシデンス・レスポンス(IR)企業と契約を結ぶことで、たとえ侵害が発生した場合でも速やかに対処し、損害を最小限に抑えられるようにしておきましょう。

戦う相手を選別

当然のことながら、リストにあがっているすべての脆弱性に対応できるわけではありません。リスクと共存するコストよりも、リスクを解消するコストのほうが大きいとの結論に達することも考えられます。自分の考えを幹部陣に伝え、対策をとるにせよ、やめるにせよ、すべてのリスクにどう対処するのかの計画を明確に示す必要があります。境界の存在しないこの新しい環境において、共同責任のもと、予算の使い道の優先順位を決めるようにしましょう。

You Might Also Like

クラウド · 5分で読める

ビジネスニーズに応えるクラウドアーキテクチャの構築方法

プライベートクラウドにより業務の加速化を図りたいのであれば、人が関与することによる遅延を可能なかぎりプロセスから取り除くことが不可欠です。テスラ社CEO イーロン・マスク氏は次のように言っています。「生産ラインに人を配置すべきではありません。人がそのスピードを落としてしまうからです」 インフラを再利用可能なリソースプールとして取り扱い、セルフサービスやインテリジェントな自動化のメリットを、最大限活用することが重要です。

事業戦略 · 5分で読める

クラウド移行の費用対効果:収支はバランスとれているか

パブリッククラウドでのSasSの導入率はすでに90%と高い値となっています。一方、77%近くの企業がプライベートクラウド・プラットフォームを、またハイブリッドクラウドを利用している企業も71%あります。オンプレミス機器を使用した場合と比べて、業務の効率化、コスト削減、リーチの拡大といった効果が得られていることを示す証拠を、どの企業もまだつかんではいないのです。この記事では、指標の構築、比較モデルの作成、ステイクホルダーが理解できるようにデータを分析する方法を考察します。