DXの推進をしたいが、サイバーセキュリティの基盤がないとお悩みではありませんか。安易にDXの推進を進めるよりも、危機管理意識があるのはとても良いことです。サイバーセキュリティへの対策に何が必要であるかを理解し、セキュリティ基盤を構築することから始めてみましょう。
今回は企業や組織として、サイバーセキュリティへの対策に必要なコスト・人材・技術についてそれぞれ詳しくお話します。

企業や組織としてサイバーセキュリティへの対策に必要なコスト

はじめに企業や組織としてサイバーセキュリティへの対策に必要なコストについて解説します。

セキュリティ製品に投資するコスト

セキュリティ製品としては、ウイルス対策ソフトや駆除ツール、IT資産管理や情報資産管理のシステムが挙げられます。ITに疎い、またはITが苦手な方ですと「セキュリティのソフトは無料で十分」と誤解されていることが多いですが、個人ならいざ知らず、企業や組織であれば無料でセキュリティを構築・維持することはできません。
もちろん、MicrosoftのWindows Defenderのように、無料でも高性能なソフトウェアは存在します。ただし、Windows Defenderも単体でセキュリティ性を確保できるわけではありません。セキュリティ製品を「物理的な屋根・壁・扉・鍵・監視カメラ・警備員・金庫」のような形で理解し、ひとつの製品だけで「安全だ」と誤解せず、しっかりとセキュリティ製品に投資しましょう。

サイバーセキュリティに関する調査や情報収集に要する時間的なコスト

サイバーセキュリティは、いわゆる「いたちごっこ」と呼ばれる状態が続いています。各種ベンダーがセキュリティ対策を講じると、悪意のある第三者が新しい攻撃を作り出し、実行してしまうためです。
企業や組織としても、既知の脅威から最新および未知の脅威まで想定して対策を講じる必要があることから、調査や情報収集に関する時間的なコストに投資する必要があります。実際に「脆弱性があることを知らなかった」「パッチの適用がよくわからなかった」など、調査や情報収集さえすれば即時解決できるような課題も時間がないことで放置されてしまうこともあるのです。
情報システム部やセキュリティ担当の人員配置、人数だけでなく、時間的なリソースを確保し、常に余裕を持って事に当たるべきと言えます。

デバイスやOS、ソフトウェアを安全に維持管理するコスト

物理的なデバイスなどハードウェア面、同じくシステム的なソフトウェア面を安全に維持管理するコストも必要になります。「レガシーシステム」とまではいかなくても、バージョンの古いOSやソフトウェアには脆弱性が存在したまま、サポートが切れてしまう可能性があるためです。
現実問題として、大手有名企業においてもサポートが切れているOS、もしくは安全性が確保できないソフトウェアを利用し続けているケースがあります。「維持管理」するためには、パソコンなどのデバイスの入れ替えや切り替えるための費用、新しくなったソフトウェアの更新や最新版を購入するための費用が捻出できないのが理由です。
「今、動いているから良いだろう」と盲信せず、定期的かつ確実にハードウェアおよびソフトウェアを最新、もしくは常にサポートが切れていない状態を維持するためのコストを捻出しましょう。

企業や組織としてサイバーセキュリティへの対策に必要な人材

次に企業や組織としてサイバーセキュリティへの対策に必要な人材について解説します。

セキュリティ人材

セキュリティ人材とは、ハードウェア、ソフトウェア、ネットワーク、サイバーセキュリティ、コンプライアンス等々、幅広い範囲の情報セキュリティに対応できる人材を指します。特に企業や組織における情報セキュリティは範囲が広いため、一人で対応できる業務量ではなく、複数人のセキュリティ人材が必要です。
また、対応範囲の広さはスキル・技術・経験においても、一人で対応できるものではありません。それぞれのセキュリティ分野に特化した人材を集めて、統括的に管理できる人材を雇用・育成する必要があります。

CISO・情報システム部・セキュリティ担当の設置

CISO・情報システム部・セキュリティ担当の設置など、セキュリティ人材を配置し、チームや部門・部署として運営できる状態にすることも、サイバーセキュリティには必須と言えます。「セキュリティ人材を一人雇ったが、人が足りないから兼務で」という考え方では、企業や組織に必要なセキュリティ性は確保できないので注意しましょう。
企業や組織の規模・人数によっては、セキュリティチームが必要か？と疑問を抱かれることもあるかもしれません。その場合は最低でも「セキュリティ人材を雇用すること」「セキュリティに専念できるようにすること」の2点を重視してください。運営しながら雇用および育成で人数を増やしていくような形で、「いつまでもセキュリティ人材がいない」というような状況から脱することが大切です。

ITやセキュリティに関するリテラシーを持つ従業員

企業や組織におけるサイバーセキュリティには、セキュリティ人材やセキュリティチームだけでなく「従業員の協力」も必須と言えます。。どんなにセキュリティ対策をしても、セキュリティ人材が監視の目を光らせていても「想定外の手順や作業」によって、セキュリティが崩壊してしまうのが理由です。
ITやセキュリティに関するリテラシーを持つ従業員を確保するためにも、「情報セキュリティ教育」を行いましょう。情報システム部やセキュリティ担当に必要な権限・立場を与えつつ、誰もがセキュリティに興味を持ち、他人事ではなく自分事として業務できるような環境の構築を目指すことを意識してみてください。

企業や組織としてサイバーセキュリティへの対策に必要な技術

次に企業や組織としてサイバーセキュリティへの対策に必要な技術について解説します。

IT資産および情報資産を守るためのセキュリティ技術

IT資産とは物理的なデバイスやOS、ソフトウェアなどIT機器やIT機器に内包されている仕組みを含めて「IT資産」とみなす考え方です。情報資産は企業や組織での事業活動において生じる顧客情報、個人情報、機密情報の他、業務を進める中で日々発生するデータを「情報資産」と考えることを意味します。
IT資産管理や情報資産管理といった考え方を受け入れ、それぞれに対応したシステムやソフトウェアを導入することで、物理的なハードウェアから、システム的なソフトウェア・データの部分まで、全般的にセキュリティ性を高めることが可能です。

監視や制限、制御を遠隔（リモート）で一元管理する技術

監視とはデバイスやネットワークの状況をリアルタイムでの把握と、異常を検知する仕組みなどが挙げられます。制限や制御とは、許可したデバイス、アカウント、ネットワーク、IPアドレスのみに必要なデータやフォルダにアクセスできるようにする仕組みです。どちらもサイバーセキュリティの根幹とも言える技術であり、監視や制限、制御ができていない状態は非常に危険と言えます。
そして、情報システム部やセキュリティ担当がその都度離席し、作業中はセキュリティチームが不在、とならないようにするためにも、監視・制限・制御を遠隔（リモート）で一元管理する技術も必須です。監視するだけでなく、必要に応じてデバイスやネットワークを遮断、アカウントを停止するなど、現地に行かなくても操作できるようにしておくということでもあります。

セキュリティインシデント発生時に即時対応できる技術と体制

セキュリティインシデントは想定を越えた状況で発生します。そのため、発生時に即時対応できる技術と体制も必須です。24時間365日、異常を検知したら報告・連絡・相談できる体制、メール・電話・メッセージアプリなど、着実に連絡が取れる技術、必要に応じてデバイスやネットワークの貸与なども準備しておくと良いでしょう。
その上で経営陣やセキュリティ管理者や技術者の誰かの指示を仰ぎ、即時判断や対応が可能な権限を持たせることも大切です。状況を把握したのは良いが、業務を停止させられない、オンラインサービスが危険なまま稼働しているなどの状況に陥らないようにしましょう。

まとめ：サイバーセキュリティ対策に不足を感じるなら「AssetView」の導入がおすすめ！