セキュリティ対策を考えて情報収集を始めると、多くの対策分野があり、それぞれに多くの製品がある事に驚かされるかと思います。例えば、先のテーマで取り上げたEPP、EDR、XDR、MDRもそうですし、IdP、CASB、DLP、SIEM、SSPM等々。他にもFW、UTM、IDS、IPS等々、多くの製品分野があります。資金力・運用力のある企業であれば各分野の製品を入れて万全の体制を取っておこうとできるのですが、中小企業だと資金も無い、運用できる高度人材も居ないという壁がありますので取捨選択していくしかないのが実情かと思います。
尚且つ、中小企業にとって常に付きまとうのは資金繰りという問題もあります。セキュリティ製品の種類を増やせば当然ながら年間の固定費が増えていきますので、売上の状況によっては、それが経営に重くのしかかることにもなりかねません。経営者にとっては悩ましいところかと思います。
本メールマガジンでは社用パソコンとか社用スマホとかの導入・更新について「段階的導入」や「段階的更新」を勧めてきました。これは固定費の平準化というメリットがあるほか、計画的に実施していくことで「サポート切れソフトウェアの利用を防ぐ」という意味合いもあります。実は同じような考え方でシステムの「段階的構築」も推奨したいのではありますが、今は自社向けのシステムをゼロから構築という事例が少なくなりつつありますので、どちらかと言うと「段階的IT化」という感じになるかと思います。社内の業務を一気にIT化すれば業務の効率化が一気に進むように思われますが、実際には現場が混乱してしまうことが多いのです。そこで徐々にIT化を進めていくというのがお勧めだったりします。
同様にセキュリティ対策も段階的に実施すべきではないかと考えています。
社内ネットワークがある企業はFW(Firewall)の設置が必須ですし、全ての企業においてウイルス対策は必須です。流石に、ここを実施していない企業は無いかと思いますが、それぞれでどのレベルにするのかという問題はあります。例えばウイルス対策製品であればNGAVは最低線だと弊社では考えていますし、XDRやMDRを最初から考えるのであればFWはそれに対応した製品にしておきたいところです。あと、内部不正対策をしっかりしておきたいのならば資産管理ツールの導入も検討すると良いかと思います。
次に、SaaS(いわゆるクラウドと一般的に呼ばれるもの)を幾つか導入している場合であればIdPを導入して各SaaSのIDを一元管理することを検討すると良いでしょう。ここがバラバラだとIDを管理する人も大変ですし、利用者も幾つものアカウント情報を覚える必要が出てきます。また、この事によってアカウント情報が脆弱になってしまうと言う危険もはらんでいます。IdPを導入することで一つのアカウントで様々なSaaSへのログインが可能になり、管理者も利用者も負担が減りますし、誰がどのシステムを使えるのかという管理も適切に出来るようになります。
その次にはCASBというように徐々にセキュリティを強化していくと同時にSaaSの適切な運用を行えるようにしていく事で不正なアクセスの可視化や無駄なライセンスの整理をしていくことが可能になります。
また、段階的にセキュリティ対策を行うことで「ここまでは運用できる」「ここまでは固定費が増えても大丈夫」という自社としてのセキュリティ対策の限界も見えてきますので、無駄を排除しつつ自社としての限界までのセキュリティ対策を取ることが可能になります。自社のスタッフで運用できないシステムを入れることはセキュリティ対策の場合でも無駄でしかありませんので、運用と費用の両面から「どこまでできるのか」を知っておくことは大変重要です。いきなり0から100を目指してもゴールに到達するのは容易ではありませんし、50までしか出来ないものはそれ以上に行くことは決して出来ませんので、100に到達したときのあるべき姿を描きつつも、0から10、10から20のように段階的対策がベストかと考えます。