セキュリティ対策投資の最適化について(2)〜セキュリティ対策予算をいかに効果的に配分するか〜
前回のコラムでは、セキュリティ対策投資額の最適化のため、業界内他社と比較する指標の例をご紹介しました。
今回は引き続き同じテーマで、セキュリティ対策投資額の配分に関する考え方をご紹介します。
セキュリティ対策の投資といえば、アンチウイルスソフトやFireWall、リモートアクセス、セキュリティ監視のように、いわゆるセキュリティシステムの導入、運用費、それに関わる人件費、外部委託費などをイメージされる方が多いのではないでしょうか。
それは狭義では正しいのですが、広義ではシステム費用以外も含まれます。そのあたりをセキュリティ対策の原点に振り返って見ていきましょう。
セキュリティ対応組織の教科書[ISOG-J](※1)によると、セキュリティ対策の目的(=セキュリティ対応組織の存在意義)は以下2点を実現することであると記載されています。
・インシデント発生の抑制
・インシデント発生時の被害最小化
全てのセキュリティ対策の活動や投資は、この2点に効果的である必要があります。
この実現のために、2つの観点で考えていきます。
まずはセキュリティ対応組織(CSIRTや情報システム部など)の機能について、セキュリティ対応組織の教科書で記載されている内容に基づき考察します。
セキュリティ対応組織の機能として、以下A〜Iの9つの機能が定義されています。
———
(セキュリティ対応組織の教科書から抜粋)
A. セキュリティ対応組織運営
セキュリティ対応するに当たって、取り扱うべき事象や対応範囲、トリアージ(対応優先度)基準などの、セキュリティ対応における全体方針を管理したり、必要となるリソース計画を行ったりする機能である。セキュリティ対応の安定的な運営を目的とする。
B. リアルタイムアナリシス(即時分析)
NW 装置やサーバ、セキュリティ製品など、各種システムからのログやデータを常時監視し、分析を行う機能である。リアルタイムに脅威を発見し、迅速で適切なインシデント対応へ繋げることを目的とする。
C. ディープアナリシス(深掘分析)
被害を受けたシステムの調査や、漏えいしたデータの確認、攻撃に利用されたツールや手法の分析など、インシデントに関連するより深い分析を行う機能である。インシデントの全容解明と影響の特定を目的とする。
D. インシデント対応
リアルタイム分析結果や脅威情報を元に、脅威の拡散抑止、排除のための具体的な対応を行う機能である。関係者との調整、報告なども含め、システムおよびビジネスへの影響最小化を目的とする。
E. セキュリティ対応状況の診断と評価
守るべきシステムに対する脆弱性診断や、インシデント対応訓練およびその評価を行う機能。セキュリティレベルの向上と共に、分析やインシデント対応の負荷削減へ繋がるよう、インシデントの予防、インシデント対応に関する練度の向上を目的とする。
F. 脅威情報の収集および分析と評価
ネット上に公開されている、脆弱性や攻撃に関する脅威情報(外部インテリジェンス) を収集したり、リアルタイム分析やインシデント対応時の情報(内部インテリジェンス) を取り扱ったりする機能である。リアルタイム分析の精度向上やインシデント対応、セキュリティツールの改善へ繋げることを目的とする。
G. セキュリティ対応システム運用・開発
セキュリティ対応するにあたって必要となるシステム(セキュリティ製品、ログ収集 データベース、運用システムなど)の管理、改善や新規開発を行う機能。他の機能が円滑かつ持続的に活動可能な状態を実現することを目的とする。
H. 内部統制・内部不正対応支援
内部統制の営みで必要となる監査データの収集や、内部不正に関する対応支援を行う 機能。内部統制そのものや、内部不正捜査そのものは内部統制部門や法務部門が主体となって対応することが一般的であるが、ログ提供や分析によりその対応の補助し、解決 の支援を行うことを目的とする。
I. 外部組織との積極的連携
セキュリティ対応組織ではない組織(社外、社内問わず)との連携を行う機能。波及 的なセキュリティレベル向上を目指すとともに、セキュリティ対応組織の存在価値を高め、自組織のさらなる発展、強化を目的とする。
———
図にすると以下のイメージとなります。
セキュリティ対策投資としてイメージしやすいのは、[G. セキュリティ対応システム運用・開発]でしょう。前述したセキュリティ製品の導入、維持運用の投資がここに該当します。
しかし、
・インシデント発生の抑制
・インシデント発生時の被害最小化
のためには、セキュリティシステムの導入運用だけではないことがこの教科書から読み取れます。
Bのように、日常のセキュリティアラートの監視や、当然のことながらC、Dのようにセキュリティ事故が発生した際の対応も必要です。
A〜Iの9つが実施されているか、また十分機能しているかは企業によって異なりますが、セキュリティ投資を検討する際に、A〜Iそれぞれの活動状況や投資額の棚卸を行い、自社のセキュリティ対策がどの程度網羅しているか客観的に把握してみることをお勧めします。
もう一つの観点は、事前対策と事後対策(防御と対応)の投資についてです。
事前対策、すなわち[インシデント発生の抑制]のための投資の例として、前述した各種セキュリティシステムに関する投資以外に以下があります。
・発生を抑制するための社内規定やルールの策定 (セキュリティポリシーとも言います)
・社員のセキュリティ教育
・セキュリティ対応人材の育成、採用
・セキュリティ専門家によるセキュリティ事故の予兆監視
・自社開発アプリケーションのセキュリティチェック
・自社モバイルアプリのフィッシング対策
・取引先や関連会社のセキュリティリスクの可視化、是正
(補足:サプライヤーリスクマネジメントとも言われており、最近発生した自動車メーカー関連会社のセキュリティ事故による工場停止などをきっかけに注目されています)
もう一方の事後対策[インシデント発生時の被害最小化]については、
・ログ基盤による影響範囲の把握、証跡の保管
・セキュリティ異常を検知した際の専門家の見識、判断(SOCやMSSと言われる)
・セキュリティ事故発生時の専門家によるトリアージ、影響度の把握、原因分析、終息判断のアドバイス
・データのバックアップ、BCP対策
・サイバーリスク保険への加入
などが挙げられます。
数多くの企業のセキュリティ対策を見てきた筆者の感覚では、事前対策 [インシデント発生の抑制]に対する投資に注力する企業は多く、反面、事後対策[インシデント発生時の被害最小化]に対する投資は遅れている企業が多く見受けられます。
いわずもがな、どんな対策を施したとしてもセキュリティ事故は100%防ぐ事はできません。
筆者の感覚では、セキュリティ投資の割合として
事前対策:事故対策 = 7:3
くらいが適切だと考えます。
セキュリティ対応組織の機能と、事前対策・事後対策という二つの観点をご紹介しました。ぜひこの機会に、システムの導入運用費用だけではない、広義でのセキュリティ投資の最適配分について検討されることをお勧めします。
さて、過去2回のコラムで、セキュリティ対策投資の最適化というテーマに関して業界他社と比較した投資額と、投資の最適配分についてお伝えしてきました。
次回は、これも非常に悩ましい[セキュリティ対策投資の効果]についてお伝えします。
なお、弊社においてもここに記載した内容に関するコンサルティングをご提供しています。ぜひお問合せください。
※1 (出典元)
セキュリティ対応組織の教科書(ISOG-J)
https://isog-j.org/output/2017/Textbook_soc-csirt_v2.html
2022.04.19