あなたの会社では、サイバー攻撃の対策費として
いくらぐらい使っているでしょうか?
セキュリティ対策には終わりが無いと言われますが、
その費用は年々増え続けているのが実情です。
本日は、セキュリティ対策のコストを抑えるために
考慮すべきポイントについて、簡単にお話しします。
<<本コンテンツの対象となる方>>
・セキュリティ対策の責任者
・セキュリティ対策に興味のある方
<<コスト増加の基本事由>>
そもそもセキュリティ対策が必要な理由は、
守りたい「資産」があり、
それを襲う「脅威」が存在するからです。
守るものが無ければ脅威も存在しないわけですね。
しかし、IT の技術が進歩するにつれ、
資産はデジタルな情報で扱われ、
利便性の向上と共に脅威が資産にアクセスしやすい状況に
なってしまったのです。
しかも資産は簡単にコピーできてしまいます。
だから、IT によって利便性が向上すればするほど、
正しいアクセス権を持った人間が適切なタイミングで必要な情報のみに
アクセスできる事を保証するためのコストが増加するわけです。
<<増加傾向の実態>>
下記のニュースリリースが参考になるかと思います。
○シマンテック、Ponemon 社とレポート
「2013年 情報漏えいのコストに関する調査:日本版」を発表
http://goo.gl/iqcxi0
このレポートによると、単純計算で漏洩した情報1件あたりの平均コストは
昨年から約 11% 増して 12,263 円です。
日本企業では、情報漏えいの原因を
データの悪用または窃盗と回答したのが 42% ともっとも多く、
これに起因する情報漏えいの平均コストは 1 件当たり 13,673 円とのことです。
つまり、システム上の欠陥(11,503 円)や人的エラー(11,046 円)が原因の情報漏えいより、
高いコストが必要なことが明らかになったのです。
別のレポートからですが、
企業へのサイバー攻撃が「成功」した事例も前年から比べて 18% 増しています。
※Ponemon の調査報告の「成功」とは、
企業の社内ネットワークまたはシステムのいずれか、
あるいは両方に侵入した攻撃と定義しています
また、「成功」事例には単純攻撃よりも複雑な攻撃、
例えば以前にご紹介したやり取り型などが増えてきているのです。
○やり取り型の記事
http://goo.gl/yd2jYe
<<コストを抑えるべきために考慮すること>>
昨今、ネットワークに繋がっていない企業は無いと言えます。
つまり、セキュリティの脅威には常に晒されていると言う事です。
コストを抑えるべきポイントを全て列挙することは叶いませんが、
基本方針としては次の様なものです。
単純な攻撃対策はシステムを導入することで自動化し、
複雑な攻撃に対しては監視や検知を組み合わせて随時確認を行い、
万が一のインシデント(事故)発生時の対策を、別途策定しておくこと。
複雑なタイプには、ヒューマンエラーに起因するものが
多く含まれているのも対策が難しい原因ですね。
<<まとめ>>
クラウドサービスや BYOD の利用が当たり前になりつつある今、
もはやセキュリティ対策というのは IT 部門だけでは完結できません。
P マークや ISMS などを取得する事も
セキュリティ対策の一環だと言う事を認識しておくことは重要でしょう。
弊社は ISMS 取得企業ですし、
あなたの会社で取得することをお手伝いすることや、
システムの構築にあたって認定企業として
適切なアドバイスをさせていただく事もできます。
弊社のどのコンサルタントでも構いませんので、
お気軽にご相談ください。
※Excel や Word などのソフトの疑問などでも大丈夫ですよ!