企業や組織としてサイバーセキュリティへの対策に必要なコスト・人材・技術について

INDEX

    DXの推進をしたいが、サイバーセキュリティの基盤がないとお悩みではありませんか。安易にDXの推進を進めるよりも、危機管理意識があるのはとても良いことです。サイバーセキュリティへの対策に何が必要であるかを理解し、セキュリティ基盤を構築することから始めてみましょう。
    今回は企業や組織として、サイバーセキュリティへの対策に必要なコスト・人材・技術についてそれぞれ詳しくお話します。


    企業や組織としてサイバーセキュリティへの対策に必要なコスト

    はじめに企業や組織としてサイバーセキュリティへの対策に必要なコストについて解説します。

    セキュリティ製品に投資するコスト

    セキュリティ製品としては、ウイルス対策ソフトや駆除ツール、IT資産管理や情報資産管理のシステムが挙げられます。ITに疎い、またはITが苦手な方ですと「セキュリティのソフトは無料で十分」と誤解されていることが多いですが、個人ならいざ知らず、企業や組織であれば無料でセキュリティを構築・維持することはできません。
    もちろん、MicrosoftのWindows Defenderのように、無料でも高性能なソフトウェアは存在します。ただし、Windows Defenderも単体でセキュリティ性を確保できるわけではありません。セキュリティ製品を「物理的な屋根・壁・扉・鍵・監視カメラ・警備員・金庫」のような形で理解し、ひとつの製品だけで「安全だ」と誤解せず、しっかりとセキュリティ製品に投資しましょう。

    サイバーセキュリティに関する調査や情報収集に要する時間的なコスト

    サイバーセキュリティは、いわゆる「いたちごっこ」と呼ばれる状態が続いています。各種ベンダーがセキュリティ対策を講じると、悪意のある第三者が新しい攻撃を作り出し、実行してしまうためです。
    企業や組織としても、既知の脅威から最新および未知の脅威まで想定して対策を講じる必要があることから、調査や情報収集に関する時間的なコストに投資する必要があります。実際に「脆弱性があることを知らなかった」「パッチの適用がよくわからなかった」など、調査や情報収集さえすれば即時解決できるような課題も時間がないことで放置されてしまうこともあるのです。
    情報システム部やセキュリティ担当の人員配置、人数だけでなく、時間的なリソースを確保し、常に余裕を持って事に当たるべきと言えます。

    デバイスやOS、ソフトウェアを安全に維持管理するコスト

    物理的なデバイスなどハードウェア面、同じくシステム的なソフトウェア面を安全に維持管理するコストも必要になります。「レガシーシステム」とまではいかなくても、バージョンの古いOSやソフトウェアには脆弱性が存在したまま、サポートが切れてしまう可能性があるためです。
    現実問題として、大手有名企業においてもサポートが切れているOS、もしくは安全性が確保できないソフトウェアを利用し続けているケースがあります。「維持管理」するためには、パソコンなどのデバイスの入れ替えや切り替えるための費用、新しくなったソフトウェアの更新や最新版を購入するための費用が捻出できないのが理由です。
    「今、動いているから良いだろう」と盲信せず、定期的かつ確実にハードウェアおよびソフトウェアを最新、もしくは常にサポートが切れていない状態を維持するためのコストを捻出しましょう。

    企業や組織としてサイバーセキュリティへの対策に必要な人材

    次に企業や組織としてサイバーセキュリティへの対策に必要な人材について解説します。

    セキュリティ人材

    セキュリティ人材とは、ハードウェア、ソフトウェア、ネットワーク、サイバーセキュリティ、コンプライアンス等々、幅広い範囲の情報セキュリティに対応できる人材を指します。特に企業や組織における情報セキュリティは範囲が広いため、一人で対応できる業務量ではなく、複数人のセキュリティ人材が必要です。
    また、対応範囲の広さはスキル・技術・経験においても、一人で対応できるものではありません。それぞれのセキュリティ分野に特化した人材を集めて、統括的に管理できる人材を雇用・育成する必要があります。

    CISO・情報システム部・セキュリティ担当の設置

    CISO・情報システム部・セキュリティ担当の設置など、セキュリティ人材を配置し、チームや部門・部署として運営できる状態にすることも、サイバーセキュリティには必須と言えます。「セキュリティ人材を一人雇ったが、人が足りないから兼務で」という考え方では、企業や組織に必要なセキュリティ性は確保できないので注意しましょう。
    企業や組織の規模・人数によっては、セキュリティチームが必要か?と疑問を抱かれることもあるかもしれません。その場合は最低でも「セキュリティ人材を雇用すること」「セキュリティに専念できるようにすること」の2点を重視してください。運営しながら雇用および育成で人数を増やしていくような形で、「いつまでもセキュリティ人材がいない」というような状況から脱することが大切です。

    ITやセキュリティに関するリテラシーを持つ従業員

    企業や組織におけるサイバーセキュリティには、セキュリティ人材やセキュリティチームだけでなく「従業員の協力」も必須と言えます。。どんなにセキュリティ対策をしても、セキュリティ人材が監視の目を光らせていても「想定外の手順や作業」によって、セキュリティが崩壊してしまうのが理由です。
    ITやセキュリティに関するリテラシーを持つ従業員を確保するためにも、「情報セキュリティ教育」を行いましょう。情報システム部やセキュリティ担当に必要な権限・立場を与えつつ、誰もがセキュリティに興味を持ち、他人事ではなく自分事として業務できるような環境の構築を目指すことを意識してみてください。


    hands-typing.jpg

    企業や組織としてサイバーセキュリティへの対策に必要な技術

    次に企業や組織としてサイバーセキュリティへの対策に必要な技術について解説します。

    IT資産および情報資産を守るためのセキュリティ技術

    IT資産とは物理的なデバイスやOS、ソフトウェアなどIT機器やIT機器に内包されている仕組みを含めて「IT資産」とみなす考え方です。情報資産は企業や組織での事業活動において生じる顧客情報、個人情報、機密情報の他、業務を進める中で日々発生するデータを「情報資産」と考えることを意味します。
    IT資産管理や情報資産管理といった考え方を受け入れ、それぞれに対応したシステムやソフトウェアを導入することで、物理的なハードウェアから、システム的なソフトウェア・データの部分まで、全般的にセキュリティ性を高めることが可能です。

    監視や制限、制御を遠隔(リモート)で一元管理する技術

    監視とはデバイスやネットワークの状況をリアルタイムでの把握と、異常を検知する仕組みなどが挙げられます。制限や制御とは、許可したデバイス、アカウント、ネットワーク、IPアドレスのみに必要なデータやフォルダにアクセスできるようにする仕組みです。どちらもサイバーセキュリティの根幹とも言える技術であり、監視や制限、制御ができていない状態は非常に危険と言えます。
    そして、情報システム部やセキュリティ担当がその都度離席し、作業中はセキュリティチームが不在、とならないようにするためにも、監視・制限・制御を遠隔(リモート)で一元管理する技術も必須です。監視するだけでなく、必要に応じてデバイスやネットワークを遮断、アカウントを停止するなど、現地に行かなくても操作できるようにしておくということでもあります。

    セキュリティインシデント発生時に即時対応できる技術と体制

    セキュリティインシデントは想定を越えた状況で発生します。そのため、発生時に即時対応できる技術と体制も必須です。24時間365日、異常を検知したら報告・連絡・相談できる体制、メール・電話・メッセージアプリなど、着実に連絡が取れる技術、必要に応じてデバイスやネットワークの貸与なども準備しておくと良いでしょう。
    その上で経営陣やセキュリティ管理者や技術者の誰かの指示を仰ぎ、即時判断や対応が可能な権限を持たせることも大切です。状況を把握したのは良いが、業務を停止させられない、オンラインサービスが危険なまま稼働しているなどの状況に陥らないようにしましょう。


    まとめ:サイバーセキュリティ対策に不足を感じるなら「AssetView」の導入がおすすめ!

    今回は企業や組織として、サイバーセキュリティへの対策に必要なコスト・人材・技術についてそれぞれ詳しくお話しました。
    業界や業種によっては、セキュリティ人材を雇うどころか、セキュリティ対策のための基盤がないこともあるでしょう。コスト・人材・技術という視点で基盤を用意し、セキュリティ体制が構築できるよう努めてみてください。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、セキュリティに関するコストを低減させつつ、セキュリティ基盤を構築できます。セキュリティ人材の雇用や育成に関するお悩みの解決にもつながりますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      常時開催

      『IT資産管理の費用対効果』が説明できるようになるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら