安易に何かを買うのではなく、その頭を使え （2009年07月21日）

　世界的な不況の中、強まるITコストの削除要求に対して、情報セキュリティ対策のコストまでも削除することを検討する企業が増えているようだ。しかし、単純なコスト・カットではセキュリティ・リスクの増大を招きかねない。セキュリティ・レベルを保ったままコストを最適化する手法について学ぼう。

Robert McMillan／IDG News Serviceサンフランシスコ支局


セキュリティ・コスト削減を余儀なくされるCIO
　一部のアナリストは、2009年の企業の情報セキュリティ支出は増える――少なくとも“総ITコストに占める割合”は増えるだろうと予測している。だが、現在の世界的景気後退が続く間は、コスト節減のためにセキュリティ予算をカットしようという、これまでには考えられなかったアイディアを真剣に検討しているCIOもいる。

　調査会社Spire Securityのアナリスト、ピート・リンドストローム（Pete Lindstrom）氏は「コスト・カットを経験していない人などまずいないだろう」と述べる。「セキュリティを、ITコストに含まれる1つのコスト・センターと捉えるならば──（中略）──（コスト・カットを）始めるのに最適な部分だ」（同氏）。

　南カリフォルニア大学（USC）の情報インフラ保護研究所でエグゼクティブ・ディレクターを務めるチャーリー・マイスター（Charlie Meister）氏は、「利益率を向上させるために、セキュリティ・コストの削減に着手している企業がある」と証言する。

　また、金融サービス業界にクライアントを持つセキュリティ・ベンダーHBGaryのCTO（最高技術責任者）、リッチ・カミングズ（Rich Cummings）氏も、「過去6カ月間にわたり、かなり大規模なコスト削減を目の当たりにしてきた」と述べる。

　当然のことだが、セキュリティ・コストを削減することで、セキュリティ侵害による被害が深刻化するリスクは高まる。Ponemon Instituteの調査によると、データ侵害が発生した場合の平均損害額は1件当たり670万ドル（約6億3,000万円）にも上るという。

　それでも、予算がないならば選択の余地はないだろう。

　専門家によれば、リスクの実態を本質的に理解しようと努力してきた企業ならば、リスク増加を食い止めつつコストを削減することができるという。例えば、USCのマイスター氏は、「セキュリティについて真剣に検討している企業ならば、自社のセキュリティ・コストをどう削減すればよいかについて、賢明な判断を下せるだろう」と述べている。

　ただしマイスター氏は、そのような企業は“例外的な存在”と指摘する。「リスク因子を管理するための努力を行っている企業の数は、まだ十分ではない。ほとんどの企業は、だれか従業員がノートブックPCを紛失するまで本気で努力しようとはしない」（同氏）。

　では、どうやればセキュリティ・コストを安全に削減できるのだろうか。その1つの手段として「セキュリティ動向に関する情報をShadowserverプロジェクトのような無償プロジェクトから入手し、情報への対価を支払わないようにすることだ」とカミングズ氏はアドバイスする。

オープンソース・ツールを積極的に活用する
　オープンソース・ツールの活用により、セキュリティ・レベルを維持しつつコストを削減できる。より小さなコストで、現在と同等の機能を持つセキュリティ・ツールを入手することができるからだ。

　「オープンソース・ソフトウェアの採用も、特にSMB（中小企業）にとっては大きなセキュリティ・コスト削減効果がある。そのソフトウェアが広く普及しており、IT担当者がそれに十分習熟してるならば、オープンソース・ツールの導入を検討するというのも悪くない選択だ」（リンドストローム氏）

　例えば、アンチウイルス・ソフト「ClamAV」やIDS（侵入防御システム）の「Snort」といったオープンソースのセキュリティ・ツールは、すでに広く利用されている。また最近では、「OSSIM（Open Source Security Information Management）」のようなセキュリティ・イベント管理ソフトウェアも出てきている。

　フル・ディスク・エンクリプション（暗号化）を実施する予算がないという企業ならば、オープンソースの暗号化ツール「TrueCrypt」に興味を示すかもしれない。米国HEAF（Higher Education Assistance Foundation）の情報セキュリティ担当者、モリー・ストラウス（Morey Straus）氏は、「True Cryptは集中管理性に欠けており、どんな環境でも適しているとは言えない」と注意を促すが、裏を返せばTrue Cryptで十分な場面もあるのだ。

クラウドへのアウトソーシングを図る
　セキュリティをクラウド・サービスにアウトソーシングするという手もある。

　セキュリティ対策のアウトソーシング移行は、キャッシュ不足に悩む組織にとって、コスト節減を可能にする手段だ。「一部のセキュリティ製品をリプレースするために、クラウド・コンピューティング・サービスに注目すべきだ」と、ストラウス氏も推奨する。

　Forrester Researchのある調査では、調査対象のうち28パーセントの企業がコスト節減のためにクラウド・ベースのマネージド・セキュリティ・サービスを導入したという。

　今のところ、最もポピュラーなクラウド・セキュリティ・サービスは電子メールとWebのフィルタリングだが、Forresterは今後、脆弱性診断やイベント監視のサービスも、同じようにクラウドに移行する企業が増えると予測している。

ツールを買う前に頭を使え
　コストをかけずにセキュリティ環境を改善したいならば、情報セキュリティの啓発プログラムに時間を割くべきだ、とストラウス氏は述べる。「企業がなし得る中で最も簡単かつ最も効果的な唯一の手段だ。そのうえコストもほとんどかからない」（同氏）。

　ストラウス氏は、自らの所属する奨学金事業団において、啓発プログラムを2段階に分けて実践したという。同氏はまず、従業員全員を対象とした大規模なプレゼンテーションを行った。これは、セキュリティ対策のグッド・プラクティスを概説するものだ。続いて、各部署のミーティングに参加し、引き続きそのテーマについて説明やディスカッションを行った。

　「こうすることで、考えうるセキュリティ・リスクや“落とし穴”についての意識をユーザー（従業員）たちと共有することができる。こうしたミーティングは非常に有益だ」（ストラウス氏）

　またほかのアナリストは、企業がコストを削減し、再びスタッフ資源に焦点を当てることができる1つの方法として、人的作業の発生するプロセスの削減をあげている。

§

　幸いなことに、まだ多くの企業IT部門は「セキュリティ・コストのどこを削るべきか」という辛い決断を迫られてはいない。

　Forrester Researchの調査によれば、IT予算全体におけるセキュリティ予算の平均割合は、昨年11.7％だったものが今年は12.6％に増える見込みだ。ただし、IT予算は平均3.1％の削減が見込まれているため、相対的に大きな増加と言えるだろう。

ソース　コピュータワールド
http://www.computerworld.jp/topics/smb/156169.html