連載
セキュリティ対策費を確保するならリスクベースで語れ:セキュリティ強化塾(1/4 ページ)
「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。
「ITセキュリティに対しての投資を行わない」という企業は、ほぼ存在しない。常にサイバー攻撃は企業を狙っており、もはや「侵入されていない企業はない」とまでいわれるほどだ。だが、「どのように投資すべきか」という入り口で間違えてはいないだろうか。
投資額を増やせばITセキュリティ対策は万全、ではない
規模の大小はあるが、企業における情報漏えい事件が後を絶たない。また、ランサムウェアなどを使ったサイバー攻撃の被害も多く報告されている。このような現実を踏まえ、多くの企業はITセキュリティを「戦略的投資」と考えはじめている。
情報処理推進機構(IPA)が発表した「2016年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、ITセキュリティに対する投資額は業種を問わず、ある程度の金額が積まれていることが分かる。
この多くは「100万円未満」だ。しかし、「投資額を増やせばITセキュリティ対策は万全だ」という考え方は間違っている。どんなに投資したとしても間違った方向に進んでいれば、何もしていないことと変わらない。むしろ誤った投資が作り出す空虚な安心感こそが、ITセキュリティで大きな隙を作る要因となってしまう。
この「投資に対する考え方」について、米マカフィーのチーフ テクニカル ストラテジストであるキャンディス・ウォーリー氏が興味深い考察を加えている。2017年10月に米ラスベガスで開催された同社主催イベント「MPOWER」の講演から、セキュリティ投資の戦略について紹介しよう。その入り口は、ボードゲームにあるという。
Copyright © ITmedia, Inc. All Rights Reserved.