2020 年 12 月 3 日 Corey Nachreiner 著

年次計画と予算編成は、たとえ面倒であっても、セキュリティ体制を整えるために常に重要となっています。多くの企業で、情報セキュリティが直接収益に貢献することはほぼなく、経営者からはコストと見なされていることも多々あります。そのため CISO とセキュリティリーダーは、毎年の予算を可能な限り効果的に配分することが不可欠になってきます。では、2021 年のセキュリティ計画において重要なベストプラクティスとは何でしょうか？

初めの一歩

残念ながら、セキュリティにかけるべき費用を正確に知るための「魔法のボタン」は存在しません。個々の組織はそれぞれ異なり、費やすべき金額も IT リスクプロファイルに応じて異なります。そのリスクを把握するには、インフラストラクチャとデータをすべて監査することも必要です。どのような重要なデータを保存しているのか、それがどこに保存されているのか、そのデータを失ったり漏洩したりした場合の影響はどの程度なのか、などを知らなければ、セキュリティインシデントの対応にかかるコストは把握できません。しかしそのコストを知ることで、対策に費やすべき妥当な金額もわかります。また、データの「可用性」が重要であることも忘れてはいけません。データの損失と同じく、ダウンタイムも防ぐ必要があります。

また、運営しているそれぞれのビジネスが準拠すべき規制にも十分注意を払う必要があります。たとえば医療分野で事業を行っている場合は、HIPAA（Health Insurance Portability and Accountability Act）に準拠している必要があります。クレジットカードを利用している場合は、PCI（Payment Card Industry）の要件を遵守する必要があります。これらの規制には、違反の際にかかる、明確な罰金や罰則が定められています。その金額は、セキュリティ侵害があった際にかかる最終的なコストを導く役に立ちます。

以上を前提として、自社が適切な水準にあるかどうかを確認する最も簡単な方法は、類似の企業との比較を行うことです。さまざまなアナリスト企業が、定期的に企業を調査し、IT 予算の何 ％ をセキュリティに費やしているか調査しています。答えにはばらつきがありますが、2019 年に Deloitte 社が行った調査によれば、セキュリティに費やすのは IT 予算の 6% から 14% の間で、平均は 10% という結果が出ています。この数字と自社のセキュリティ予算の配分を比較してみましょう。ただし、セキュリティ予算にかける割合は、ビジネスがどの程度 IT インフラストラクチャに依存しているか、また保有する機密データの量などによっても異なります。IT リソースが少ないレガシータイプのビジネスを経営しているのであれば、少ない割合であっても問題ありませんが、重要な知的財産、財務情報、顧客情報を保有し最新の IT を利用している企業であれば、その割合は必然的に上がることになります。

Ponemon 社が毎年発表している「情報漏えい時に発生するコストに関する調査（Cost of a Data Breach Report）」では、地域別、企業の業種別、攻撃の種類別に、データ侵害のコストが分析されています。このレポートの中で最も興味深い統計の 1 つは、「顧客情報 1 件あたりの侵害平均コスト」（2020 年は、記録された侵害 1 件あたり 150 ドル）です。組織の規模の大小にかかわらず、このデータを見れば、失う可能性のある顧客情報の数に基づいて、侵害の平均コストを見積もることができます。侵害コストの最大値に発生確率を乗じた金額よりも、セキュリティに多くの費用をかけるべきではありません。

新型コロナウイルスの影響

世界的に大流行した新型コロナウイルスは未だ猛威を振っており、リモートワークへの加速するシフトは、CISO にとっての主要な問題であり続けるでしょう。新型コロナウイルスがセキュリティのプライオリティや費用に対して、どのような影響を及ぼすかということを完全に理解するには時間が必要ですが、以下 2 つの事柄については、確実に真実であると言えます。

まず、従業員 1 人当たりのセキュリティ支出が上昇する可能性が高いです。Gartner 社は「IT Key Metrics Data 2019（2019年のITの主要なメトリクスデータ）」レポートの中で、2018 年中の従業員 1 人当たりの平均セキュリティ支出額は 1,178 ドルであり、2012 年との比較では 67％ の大幅な上昇を記録した、と報告しています。この急増の原因についてはレポートでも特定されていませんが、リモートワークの増加が関係している可能性が高いでしょう。オフィスでは通常、ゲートウェイとなるネットワーク境界に多くの防御を一元化することができます。境界におけるセキュリティを共有すれば、個々の防御にそれほど多くの費用をかけずに済むためです。しかしリモートワーク環境では、各従業員が個別に防御を必要とするため、費用増加の一因となることがあります。新型コロナウイルスにより早急なリモートワークへの移行を世界中で余儀なくされている今、従業員 1 人当たりのセキュリティ費用が少し増加する可能性があります。

第 2 に（これはいいニュースである可能性もあります）新型コロナウイルスにより、ほとんどの場合、組織は既存予算を再調整する必要に迫られます。リモート従業員の増加でセキュリティ予算が増加する可能性はありますが、予算を戦略的に再配分すれば増加分の一部を賄うことも可能です。オフィスネットワークの境界、クラウド、リモートユーザのすべてにセキュリティ対策が必要ですが、最も重要なデータがどこにあるか、また、それぞれの場所にどれだけの資産があるかによって、最大の予算をかける項目が変わってきます。自宅で仕事をする従業員や、クラウドでのサービスが多いのであれば、既存の予算の中でそれらの優先順位を上げるべきでしょうし、その逆もまた同様です。しかし、最終的にはほとんどの組織が、パンデミックを原因として、エンドポイントやユーザベースの防御へと予算を集中させるか、予算を増やすかのどちらかになることは間違いないでしょう。

進化する脅威に対応していく

脅威の状況には常に注意を払い、それに応じてセキュリティ支出とその優先順位を調整する必要があります。2016 年にランサムウェアが初めて爆発的に発生した際には、バックアップやディザスタリカバリに関連するセキュリティ対策、回避型のランサムウェアを捕捉するための高度なマルウェア検出に予算を集中させるべきでした。2019 年と 2020 年にはスピアフィッシングと認証情報盗難が横行し、「ハッカーは侵入するのではなく、ログインするだけ」ということが証明されました。そこで今年は、高度な MFA のようなソリューションを利用して、（特に自宅で仕事をする従業員が増えた今）ユーザのデジタル ID を保護することに重点を置くべきかもしれません。いずれにしても、最新の攻撃トレンドが何であれ、進化する脅威の状況は常に把握しておく必要があります。ハッカーの行動の変化は、予算の金額や使い方に影響を与える可能性があります。

上記すべてをまとめる

セキュリティの計画と予算編成サイクルを成功させるために最も重要なことは、数値化されたリスクの測定と、影響の評価から始めることです。まずは企業が遵守しなければならないすべての規制と、インシデントやコンプライアンス違反に対する罰則を把握してください。正式なリスク監査を実施して機密データのインベントリを作成し、一時的、または恒久的な損失が発生した場合の財務的な影響も測定してください。業種、従業員数、データ侵害の際の平均コストにおける、セキュリティ予算の比較を参考にしましょう。

これらに取り組めば、組織に応じた十分な予算を設定できるでしょう。しかし、成長とデジタルトランスフォーメーションの余地を残しておくことも忘れてはいけません。セキュリティがビジネスを拡大するとは思いがたい一方で、インシデントを防ぐことは、現代のビジネスにおいて必須です。セキュリティが不十分であれば、それがビジネスの妨げになってしまう可能性も十分にあります。洗練されたソリューションを導入してセキュリティを簡素化し、摩擦を減らし、さらにはデジタルトランスフォーメーションを促進できるように、予算に余裕を持たせることを検討してください。