セキュリティ投資の効果を抑制する10のアンチパターン

概要

企業はセキュリティに対する投資を行っていますが、果たしてそれは効果的に行われているのでしょうか？残念ながらセキュリティ投資に対するリターンは一般的なROI (投資対効果）のように広く利用されている算出方法はまだありません。そのため本稿ではセキュリティ投資がうまくいっていない場合によく見られる10のアンチパターンについて紹介し、定性的な観点からセキュリティ投資を効果的にすすめる方法について検討します。

1. 経営層にセキュリティ責任者がいない

経営レベルで責任者がいない場合、実施しているセキュリティ施策だけでなく、実施されていないセキュリティ施策の全体像が把握できず、最適化がされていない場合があります。さらに、経営によるトップダウンではなく現場担当者によるボトムアップ型セキュリティでは、セキュリティ強化や施策に取りかかる前に、部署間や役員との調整に担当者が時間をとられたり、組織内の力学が働くなどして思うようなセキュリティ施策がうてないケースが多くあります。

統合された効果的なセキュリティを実施するために、マネージメントレベルによる強いリーダーシップのもと、経営方針に沿ったセキュリティ戦略を立案し実行する必要があります。

2. インフラのグランドデザインを10年以上行っていない

システムやネットワークをつぎはぎで構築してきたため全体最適できていないケースです。セキュリティだけでなく生産性においても無駄やむら、非効率化が発生します。こうした企業では、インフラやポリシーなどでドキュメント化されていない情報もあり、現場の特定担当者の経験や知識に依存していることが多々あります。

適切な戦略のもとにたてられたグランドデザインの構築と導入は、生産性の向上や効率化されたセキュリティを最適化されたコストで実現できます。

3. クラウド利用などポリシーの見直しを定期的に行なっていない

テクノロジーの進化は急速に進みますが、生産性の向上とリスクのバランスを考えてクラウドやモバイルなどは導入しない、という決断を下すことは少なくありません。しかし技術の進化とともにそのバランスはどんどん変化しており、かつてのリスクはすでに許容範囲にコントロールできるようになっている場合もあります。何年も前に策定した禁止ポリシーは形骸化し実務との解離ができてしまうと、事業部門や社員が必要に迫られこっそり導入するなどしてシャドーITの温床になるケースがあります。

一度定めたポリシーを金科玉条にするのではなく定期的に見直すことで、リスクを適切にコントロールしながら新しい技術を使った生産性の向上や新規ビジネスの開拓が可能となります。

4. 導入後、設定の見直しをしていないセキュリティ製品が複数ある

金銭や情報などを目的とした攻撃者は戦略やツール、手法を常に改善させており、より効率的に侵入し目的を達成しようとしています。導入当初は十分なセキュリティレベルにあるセキュリティ製品であったとしても、時間の経過とともに新たな攻撃手法に対応できなくなっている可能性があります。

新しいセキュリティ製品を導入しなくても、バージョンアップによる機能追加や、あるいは現行の設定を変更するだけで対応できる場合が、実は多くあります。常に情報収集と導入済み製品の効果的な利用方法を検討する必要があります。

5. セキュリティは新規プロジェクトが中心で旧来プロジェクトの見直しができていない

日々新たに発見される脅威や攻撃手法に対応するため、企業のセキュリティ担当者は自社セキュリティのホワイトスペースを埋めようとします。そのため非常に多くのセキュリティ製品を導入している企業は少なくありません。平均的な企業では40の異なるベンダーから80のセキュリティ製品を導入しているというIBM社による推計もあります。

新規プロジェクトだけでセキュリティのホワイトスペースを埋めようとすると、部分最適とコストの増大、リソース不足を招きます。その結果、コントロールしきれない数の製品に囲まれて穴だらけのセキュリティに陥る可能性もあります。自社にとって必要なセキュリティをコントロール可能な範囲で達成するために、単に旧来プロジェクトを老朽化やサポート切れのために更改していくのではなく、常に旧来プロジェクトの是非を問いながら見直しを行い、全体最適をすすめる必要があります。

6. セキュリティ運用や効率化にリソースをかけていない

セキュリティにまつわるコストには、導入コストや運用コストだけでなく、選定や運用にかかるラーニングコスト、複数製品やそれらから出てくるアラートを連携させるために必要な手作業の時間工数、脆弱性確認やその対応にかかる手間、それぞれのベンダーとのやりとりにかかる時間や人手等などのリソースも考慮する必要があります。

しかしながら、セキュリティ投資に関しては、いまだに運用自動化や全体の効率化よりも導入に重きが置かれていたり、運用に関しても運用コスト削減にだけ注目しているように見えます。限られたリソースの中でセキュリティの総合力を高めるためには、製品間の連携や反復作業の自動化による効率的なセキュリティ運用が必要です。そしてそこで得られた人的リソースの余剰は「意思決定」という人間しかできない重大なタスクに割り振り、経験を積むことで、より企業のセキュリティ力を高めることが可能になります。

7. セキュリティパッチをあてていないセキュリティ製品がある

運用上ダウンタイムが許されない、動作しているものを止められない、作業負荷がかかるといった理由でセキュリティ製品が何年も更新されていないケースがあります。セキュリティ製品もソフトウェアで構成されているため、脆弱性が発見されるとアップデートが必要になります。

セキュリティ製品のメインテナンスのために必要なアップデートやダウンタイムの見積もりを導入設計の段階から考慮する必要があります。セキュリティ製品のアップデートを行わないことは、投資効果が最大化されていないだけでなく、セキュリティリスクを増大させています。

8. 特定機能のみ使っているセキュリティ製品がある

セキュリティ製品が増加する一因になるのが、部分最適を求めたポイントプロダクトの導入です。全体最適の中で必要な機能を検討した結果の導入であれば最適な投資と言えますが、実際には導入済みセキュリティ製品に同種の機能があるにもかかわらず考慮していないケースがあります。また複数機能ある製品の特定の機能だけを使ってポイントプロダクトとして利用するケースも散見され、効果的な投資とは言えない状況が発生しています。

セキュリティ製品をまとめることで様々なコストを削減しつつ、セキュリティレベルを維持することは可能なため、製品、サービス、機能、運用、人材などを含めた現在のセキュリティ体制の棚卸しを行い、無駄や被りがないか再確認することをお勧めします。

9. セキュリティ製品ごとに異なる外部会社に運用を委託している

日本の場合、自社でSOCを持って運用するのではなく、セキュリティ運用を外部に委託している企業が大半です。特に機器やサービスごとに運用を委託している会社が異なっているというケースはよく耳にするため、外部の会社を管理するだけで社内のリソースが大きく費やされています。また、セキュリティ製品毎に防御・検出できる範囲が異なるため、一度の攻撃で複数の機器から異なるアラートが時間差を於いて別々の委託先から上がってくることもめずらしくありません。セキュリティ担当者は本来であれば複数のアラートが異なる事象によるものなのか、関連しているのか、影響範囲はどれくらいか、といった調査を行うことが必要ですが、実際にはリソース不足からアラートを個別に処理しているケースが多いようです。特にネットワークとエンドポイントのセキュリティをバラバラに管理している場合、現在の標準的なレベルの攻撃であったとしても正しい調査ができない可能性があります。

セキュリティ製品を個別に管理・運用すると、高度化する攻撃を見逃してしまう可能性があります。アラートを含めセキュリティ製品間の連携を自動で行い防御力を高めることが必要です。

10. セキュリティ製品からのアラート数を抑えるため弱くする設定を行っている

セキュリティ製品からのアラート設定に関して外部委託先に丸投げをしているケースを多く聞きます。これは企業側がどのようなアラート、つまり情報が欲しいのか主体的に判断していない結果といえます。また、セキュリティ人材が不足している企業では複数のセキュリティ製品から出る多種多様なアラートすべてに対応しきれないことがあるため、現在の人手で対応できるアラート数に収えようとしてセキュリティ製品の設定をゆるくしたり機能をオフにする、といった話も耳にします。運用にあわせてセキュリティを弱くするのでは、何のための投資かわからなくなってしまいます。

ゼロトラスト戦略を導入し、企業が主体的に目的に即した各種ポリシーおよび設定の最適化をすすめることでアラートを削減できます。そして可能な限りセキュリティ製品間の連携と運用の自動化を行うことで効率化とセキュリティの向上が図れます。

まとめ

読者のみなさんはあてはまる項目がありましたでしょうか？ここで取り上げた10のアンチパターンのうち、1から3はセキュリティ戦略にかかわるもの、そして4 から10はセキュリティ運用にかかわるものです。また、上位の項目ほど組織の問題として根深く、与える影響が大きいため、上から対応していくことをお勧めします。