2018 年 7 月 11 日 編集部記事

年間予算計画を立てる時期が近づくたびに、各部門の最高責任者がその配分に頭を悩ませますが、IT セキュリティが最優先されることはほとんど期待できません。そこで、最も効果的な方法で予算を使うよう、IT 管理者や情報セキュリティのプロフェッショナルが知恵を絞る必要があります。予算をより効果的に使って会社全体を保護できれば、翌年以降の予算要求がすんなり受け入れられる可能性も高くなるでしょう。ウォッチガードの CTO である Corey Nachreiner が Help Net Security の最新のコラムで、情報セキュリティのプロフェッショナルや IT 管理者が効果的に予算を配分するために注力すべき、3 つの分野について解説しています。

1. 防止
2. 検知と対応
3. 事業継続／災害復旧（BC/DR）

企業のほとんどが 1 つ目の分野を過剰に重視し、2 つ目や 3 つ目の分野に十分な予算が確保されることはほとんどありません。セキュリティ予算をバランスの取れた形で配分し、セキュリティの緊急事態から復旧できるよう、システムを準備しておくことが重要です。Corey の記事から、効果的な予算配分に関する提案の 1 つを取り上げ、以下にご紹介します。

「セキュリティ予算の少なくとも 20% を、ビジネスクリティカルな IT リソースを緊急時に迅速に復旧するのに役立つツールやサービスに投資するようお勧めします。こうすることで、セキュリティインシデントからの復旧時間が短縮され、発生したインシデントによる収益の損失を最小限に抑えることができます。ランサムウェアや DDoS 攻撃などのサイバー脅威にビジネスクリティカルな IT リソースのいずれかが攻撃されてしまうと、そのリソースを復旧するまでの間、大きな損害を被ることになります。BC/DRの多くはプロセスに関するものではありますが、バックアップ、ホスティングサービス、仮想化などの、被害を最小限に留めるのに役立つ、さまざまな製品やサービスが存在します。」

バランスのとれたサイバーセキュリティポートフォリオとそれを考慮した効果的な予算配分の方法については、Help Net Security の Corey の記事(英文)をお読みください。