PR
コスト削減に向けた4 つの方策 - 賢いセキュリティ対策 Part2
金融危機の真っ只中において、私が身を置いている情報セキュリティ業界も、行き先が不透明だ。経営が厳しくなった会社が経費削減に取り組む場合、情報セキュリティは例外なくその優先順位の高い部類に入るからである。
「情報セキュリティは企業にとって欠かせないもの」と我々は言い続けてきた。なのに、なぜ1番に予算削減の対象になるのだろうか? 一言で言えば、「予算を少々削ったところで、どうなるもんでもないだろう」と経営者が考えていることの裏返しとも受け取れる。こうした考え方の善し悪しは別として、この現実は受け入れざるを得ない。
私は現在、情報セキュリティに関する独立したコンサルタントとして活動しており、いろいろな業界の企業から様々な相談を受ける。大抵の場合、相手は企業の「情報セキュリティ対策推進責任者」であり、次々と出てくるリスクへの対策と、なかなか減らないコストとの狭間に立たされて悩む人々だ。ここのところ相談を受けた内容からは、いくつかの傾向が見て取れる。まずは典型的なものをいくつかを紹介しよう。
相談1
新年度に何をやればいいか分からない
これからどうしたらいいか分からない、という声は本当によく寄せられる。もっとも、その事情は会社によって異なるようだ。
ある会社は、既に多くの対策に取り組んだ結果として情報漏洩の心配は減ったものの、これ以上何をすれば投資に見合う効果が上がるのかと悩む。また別の会社は、いろいろな対策に取り組んでいるものの大小様々な事故が起こると打ち明けてくる。どちらも担当者は困っているのだ。対策効果が出過ぎると、別途必要性を感じている対策の予算は確保しにくくなる。一方で、これまで予算を使ってきたのに効果がないと、これまた予算削減の対象にされてしまう。
これらは全く違う悩みのようであるが、実は共通していることがある。それは「マネジメント対策にコストがかかり過ぎている」ということだ。ここで言うマネジメント対策とは、人間が守るべきルールを多く策定して、それを教育や啓蒙で周知徹底を図るものを指す。
人間は、基本的に「忘れる」「だんだん守らなくなる」という性質を持っているために、大きな会社になるほど膨大なコストがかかることになる。そのコストとは、多くは「守らされる側の労働時間」であり、「情報セキュリティ対策推進室のコスト」や「セキュリティ機器購入費用」ではない(図2-1)。
1つのルールを作ると、それを周知徹底させるために、メールでの通知、社員を集めての説明会とその調整、セキュリティ認知度チェック、抜き打ち監査など膨大な作業が発生する。気が付くと情報セキュリティ推進本部は日々の漏えい事案の対処と情報セキュリティ庶務に忙殺されている、というケースも少なくない。実際、前述の両社は「現在とても忙しい」と言うのだ。
相談2
予算が削られて途方に暮れている
「予算が削られた」─この話も良く聞くようになった。会社の業績が悪いからコストは一律○%カット、とする企業が少なくない。特に削減の対象になりやすいのが「情報セキュリティ推進メンバーの人件費」や「各種情報セキュリティ製品やサービス」といった直接的なものに矛先が向く。
ところが既に述べたように、最大のコストは「情報セキュリティを守らされている社員の労働時間」だ。従って、情報セキュリティ推進室としては従業員の情報セキュリティに関わる時間を年間で数時間でもいいからカットする工夫を凝らし、全体として大きな削減効果を得る知恵を絞らなければならない。
今どきの賢いセキュリティ対策の基本的な考え方は、「作業の効率化に結び付く管理システムへ投資しつつ、効率化によるコスト削減を目指す」ことにある(図2-2)。単純に何かを削るという“その場しのぎ”の対策は、継続的なコスト削減にならないばかりか、セキュリティの強度を保てなくなることも多いということを頭に入れる必要がある。
先進的で意識の高い企業では社員に対する情報セキュリティの教育用にeラーニングの採用などを進めているが、一般にはまだ普及しているとは言えない。さらには、セキュリティに関する設定やソフトウェアの導入を一括して管理できるシステムを導入しているところは非常に少ないのが現状だ。人手に頼っていた管理業務を自動化・合理化できるツールは、真っ先に導入を検討すべき案件となる。
「当たり前」を疑ってかかる目を
セキュリティ対策の分野で、昨今の厳しいコスト削減の要求にどのように答えればいいのか、 ここであらためて整理してみよう。前述のように、セキュリティのコスト削減は慎重に行わなければ強度を低下させ、ただでさえ弱っている企業経営を危機に陥れる事態になるかもしれないので注意が必要だ。具体的な方法として次のページの図2-3に示した4つの方策が挙げられる。
方策1
セキュリティ製品の整理統合
セキュリティ製品はこれまでの「つぎはぎ」の歴史の中で、Plan-Do-Check-Actionという、いわゆるPDCAサイクルとはかけ離れた“Doだけのアプローチ”で次々と導入されてきた面がある。セキュリティベンチャーバブルの名残で、今はサポートも受けられなくなった製品も残念ながら多く残されている。
クライアントPC関連だけを見ても、ウイルス対策ソフトやマルウエア対策、資産(インベントリ)管理、外部デバイス制限、ログ管理といった複数の製品が、無造作に導入されていることは珍しくない。それらにかかっている費用を合計するとPC1台につき3万円程度かけている計算だ。不正PC検疫システムなども含めると、パソコン本体価格に迫る投資となってしまっている。さらに、それらの複数システムにおける社内の人的管理コストや毎年の保守料金を合わせて投資金額を算出してみると、相当な額になっているはずだ。
これらはその時々には正しい判断で導入されたきたものだろうが、各製品のバージョンアップなどの結果、現在では製品間での機能が重複してきたり、もう使わなくなった機能があったりする。だからこそ、既に導入している製品の機能の棚卸しが欠かせない。きちんと整理すれば、これまで3つの製品を使っていたものを1つの製品にまとめるといったことが可能になる。
統合ID管理製品や統合ログ管理製品などに代表される「統合化」にも注目したい。これまで社内システムの新規開発やアドオン時に個別に導入し、結果として「つぎはぎ」の管理に陥っている状況を一元管理によって解決するソリューションである。
これまで統合管理製品は高価だから、あるいは、統合管理そのものでセキュリティの強度が上がるわけじゃないから、という理由で導入が見送られてきたケースは多い。しかし、時代の要求に合わせて統合管理製品の価格も下落傾向にあるし、高機能化も進んでいる。導入で削減できる労働時間を試算し、トータルの効果が見込めるなら積極的に導入を検討すべきだろう。
方策2
セキュリティ診断の内製化
自社のWebサイトやネットワーク環境の堅牢姓(あるいは脆弱性)をチェックする場合、これまでは外部の専門業者のセキュリティ診断サービスを活用する企業が多かったことだろう。セキュリティ対策の範囲は広く、1つひとつの領域は奥深い。それだけ専門的知識が必要なことから、自社の現状をワンストップで知るには、専門業者に委託するのは有効な手段と言えよう。
セキュリティ関連製品の歴史を振り返ると、米国で成長し日本にも上陸というパターンが繰り返されてきた。どの製品もそれなりに成功してきたが、中には国内市場で苦戦を強いられてきた製品群もある。それは、監査ツールと呼ばれる製品だ。監査ツールは、米国では社内で社員が使いこなしているが、日本ではSIerやセキュリティ対策専門業者が、前述のセキュリティ診断サービスに組み込んでいることが多い。専門業者に操作が任されてしまっているために、ユーザー企業への販売ライセンス数としては日本だけが突出して売れていない、という現状がある。
今後はこれらの製品を社内で使いこなして、脆弱性の診断を「内製化」することも検討材料とすべきだろう。セキュリティサービスの委託作業費を減らしつつ、よりきめ細かいセキュリティチェックやモニタリングが可能になるからだ。それに伴い、セキュリティサービス業者は、より高度な分析やより広範囲なサービス提供にシフトしていかなければならない。
方策3
セキュリティ業務の合理化
セキュリティのマネジメントにはとても細かい作業が伴う。例えば、一般社員やサーバー管理者への教育、対策が行われているかどうかの社内監査、毎月次々と公開される「深刻なセキュリティパッチ」への対応など、セキュリティ担当者は多忙な日々を送っている。
前述の通り、これらの業務も自動化によって合理化が可能だ。ここでは別の視点に立った新たなコスト削減の可能性について考えてみよう。ずばり言うと、セキュリティ認証取得(更新)にかかわるムダにメスを入れるのだ。
真面目にセキュリティに取り組んできた会社では「ISMS(情報セキュリティマネジメントシステム)」認証や「Pマーク(プライバシーマーク)」認証を取得している会社が多い。そればかりか品質や環境関連の認証も併せて取得していることも珍しくない。認証取得の際、コンサルティング会社の支援を仰いだ会社の多くには、実は大きくコストを削る余地がある。
なぜなら、大抵の場合、認証の取得を最優先に進めてきたがために過剰な書類の作成や業務を自ら課してしまっているからである。認証取得は会社にとって大事業だし、担当者は「一発合格」が任務とされているために、これでもか、というくらいに認証対策を進めてしまい、それが後になってセキュリティ対策とは無縁の「業務の増大」を生み出してしまっているのだ。一度決めたルールは減らされることは希で、むしろ定期的な認証の更新時に新たなルールが追加されていく。
認証取得からコスト削減へと視点を変え、本当に必要なものかと疑ってかかれば、そこかしこに削減できる業務があることに気づくだろう。必要最小限の書類や業務にとどめることを念頭に置いて、積極的にムダをそぎ落とせばコストは確実に抑えられる。
方策4
システム開発における企画設計段階からの見直し
システム開発の上流工程の段階でリスク分析し、適切なセキュリティ対策を盛り込んでいくといった考え方も注目を集め始めた。システムを開発してから対策を講じようとすると多大なコストがかかることがあることが分かってきたからだ。設計段階では遅く、企画段階・要件定義の段階からセキュリティの考えが組み込まれなくてはならない。
現在、政府においても、「セキュリティバイデザイン」という考えの下、行政情報システムでの本格的な取り組みが始まろうとしている。これぞ、という方法論はまだない段階だが、読者には是非知っておいてほしい動きなので、あえて方策の最後として触れる。
この考えは総論は賛成できるが、実装面の議論になるとそう簡単なことではない。ある人は、安全なコーディングをすればいいと考えるだろうし、ある人はシステム設計がポイントだとも考える。さらに防御だけではなく、障害検知と共にセキュリティ事故の検知もできる仕組みを取り入れることを考えることもできる。
また、安全なシステムを作る「努力」をいくらしたところで「安全かどうか」が分からなければ、そのコストは説明できない。つまり、対策と評価は一体であり、それがコストの妥当性の判断材料にもなる。今、ちまたで繰り広げられている多くの議論は「いかに安全に作るか」が大半だ。だが、「トータルのコスト増の額」「コストに見合ったセキュリティ強度の評価」を考えていかないと、ユーザーがこれまでと同じ機能のソフトウェアに対して見えないセキュリティコストを上積みして支払うことはできない。
さらに、ソフトウェアは一度開発すれば同じ計算結果を出し続けてくれるが、セキュリティ強度は年々低下していく。基盤となるOSやミドルウェアなどに発見される脆弱性への対策、作り込んだソフトウェアに潜んできた脆弱性の発見など、継続的なセキュリティ維持コストがかかるからだ。
システム開発の現場にセキュリティを本格的に持ち込もうとすると、パンドラの箱を開けたように様々な問題が噴出し、利害関係者も多いことからまとめ切るのがとても難しくなる。システム開発会社は新たなコスト負担を強いられるのか、はたまた、セキュリティコストをユーザーに負担してもらえるのか。運用コストは下がるのか上がるのか。ビジネスとしてのセキュリティ事業はなくなってしまうのではないか─。巨大なIT産業だけに様々な思惑が渦巻く。
しかしながら、いよいよシステム開発の現場にセキュリティを持ち込むべき時が到来したのかもしれない。このような問題こそ政府主導でリーダーシップを執らないと、業界内だけでは決してまとめることは出来ない。その意味でも、今後の動向には目が離せない。
- 三輪 信雄
- S&Jコンサルティング 代表取締役チーフコンサルタント
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
