PR

情報セキュリティ負債が引き起こす問題

 情報セキュリティ負債が引き起こす問題は主に三つあります(図1)。

図1●情報セキュリティ負債が引き起こす問題
図1●情報セキュリティ負債が引き起こす問題
[画像のクリックで拡大表示]

 一つめは「維持コストの増加」です。情報セキュリティ負債は本来不要なセキュリティ対策です。この維持にリソース(ヒト・モノ・カネ)を投入していると、情報セキュリティ対策コストが適正値よりも過剰になります。

 コストはソフトやハードウエアに支払う直接的な金銭負担だけではありません。ヒトやモノといったほかのリソースを過剰に使うため、間接的なコスト増も相当な額になります。例えば、追加の対策により、それまで利用していたセキュリティ機能が不要になったとします。情報セキュリティ負債を放置している現場だと、不要になったセキュリティ機能(コードやAPI)が残り続けます。動作している限り、CPUやメモリーといったサーバーリソースを消費します。

 実装時のテストや維持管理といった作業に費やす人的リソースも、機能が残っていれば引き続き必要になります。また、ほとんどのセキュリティ対策は実効性を確保するため、実施結果の報告を求めます。報告を行うセキュリティ対策が増えるほど、報告のためのデータ収集や報告フォーマットの整理に必要な作業量が増えます。

 二つめは「セキュリティ対策の品質低下」です。不要な対策にリソースが投入されているため、ほかの対策に十分なリソースを割けなくなります。新たな脅威が生じた際、リソースが足りないという理由で効果的な対策の実施が遅れてしまう、といった影響を及ぼします。これでは企業全体のセキュリティ対策レベルを下げてしまいます。

 三つめは「軌道修正コストの増加」です。冒頭で紹介した技術的負債と同様に、情報セキュリティ負債も放置すればするほど軌道修正に必要なリソースが大きくなります。セキュリティ対策にはお金がかかります。数が増えていけば、それだけ変更にかかるコストが増えます。また、セキュリティ対策の導入から時間が経過するほど、実施時の目的が分からなくなっていきます。軌道修正をするには、対策がその時点で有効か否か、対策を中止した場合にどういった範囲に影響するのかをコストをかけて調査したうえで、中止や変更を検討しなければなりません。

情報セキュリティ負債が生じる理由

 情報セキュリティ負債が生じる理由の大部分は、短期的な視点でセキュリティ対策の導入に注意が集中してしまうためです。毎日のようにセキュリティ事件・事故が報道され、その中には新しい手口のサイバー攻撃があったりします。セキュリティ対策を実施するIT現場は、そうした新しい脅威への対応でプレッシャーを感じているはずです。

 また、新しい脅威の台頭に対抗するため、公的機関や業界団体が発行するガイドラインは定期的に更新されています。更新時に新たなセキュリティ対策の導入を推奨する場合もあります。ガイドラインの順守が義務になっている業種もあるでしょう。そうした業種ではコンプライアンス対応のために、新しいセキュリティ対策を導入しなければなりません。

 セキュリティ対策の導入を急ぎすぎると、システムごとの個別最適で対策を実施することになります。次々と登場するガイドラインで推奨される対策を追いかけていると、その時点で実施している対策の棚卸し、各機能の有効性の見直しがおろそかになります。こうなると、重複したセキュリティ対策を導入してしまうケースがあるでしょう。従来の対策をきちんと見直さないと、形骸化したセキュリティ対策もそのままになってしまいます。

 本来ならば企業内にあるさまざまなシステムの全体像を捉え、中長期的な視点に立った対策の計画や見直しが必要です。しかし、現実としては後回しになっている現場が多いと考えられます。システムの情報セキュリティ対策は単純に増やしていけばよいというものではありません。多層防御の観点から優先度を考え、全体最適を意識したバランスの取れた対策の取捨選択と見直しが必要です。

事例で見る情報セキュリティ負債
自社のレベルを踏まえて一段上を目指す

 情報セキュリティ対策のエンハンスメントでは、不足している対策の追加導入に加え、過去に導入した不要な対策のそぎ落としが必要です。このプロセスを欠かしたり、方法を誤ったりすると、情報セキュリティ負債の増加につながります。

 とはいえ、いきなり最適な方法でエンハンスメントを実施できる企業は少ないでしょう。まずは自社のレベルの見極めが必要です。セキュリティ対策のエンハンスメントについて、筆者独自で5段階に整理したのが表2です。自社の実情やレベルを見極めたうえで、一歩ずつ上のレベルを目指すことを推奨します。

表2●セキュリティ対策のエンハンスメントのレベル
表2●セキュリティ対策のエンハンスメントのレベル
[画像のクリックで拡大表示]

 レベル1はエンハンスメントができていない状態、レベル2は事件や事故に対応して都度対応する状態です。新しい脅威に計画的に対応しきれているとは言いがたいレベルです。まずはこの状態から脱して、レベル3以上になるようにします。

 レベル3以上は最新の脅威に対応できている点は同様です。違うのは情報セキュリティ負債の増え方です(図2)。レベル3は過去に導入した不要な対策のそぎ落としが不十分で、情報セキュリティ負債が時間とともに増大しています。レベル4はエンハンスメントのタイミングで不要な対策を定量的に洗い出して、情報セキュリティ負債を返済しています。レベル5はシステム全体で標準化や自動化を実施しており、全体最適ができています。この段階になると、情報セキュリティ負債がそもそも増えにくくなります。

図2●エンハンスメントのレベルに応じた情報セキュリティ負債の増え方
図2●エンハンスメントのレベルに応じた情報セキュリティ負債の増え方
[画像のクリックで拡大表示]

 これだけだとイメージしづらいので、レベル3~5の企業はどういったエンハンスメントを実施しているのか、筆者らがセキュリティ対策の見直しを支援した実際の事例を使って説明します。