CEOが把握しておくべきセキュリティ対策のROI

サイバー・セキュリティに関する典型的な誤解

誤解その1：セキュリティ・ソリューションを追加すれば、セキュリティは強化される。

真実：アンチウイルス・ソフトウェアやファイアウォールなど、従来型のセキュリティ・ソリューションの追加は、最高経営責任者（CEO）にとって望ましくない選択肢です。標準的なセキュリティ・ソリューションを増やせば、時間やコスト、人員がさらに必要になるケースがほとんどだからです。新しいソリューションを導入しても、セキュリティ担当者に対するトレーニングを省いたり、知識不足であったりすれば、このようなソリューションから生成されるアラートの内容を誤解してしまい、ますます増える誤検知への対応に追われる羽目になります。結果的に本物の脅威を検知するまで時間を要し、セキュリティ対策の全体的な効果が低下してしまいます。

誤解その2：テクノロジーが向上すれば、セキュリティは強化される。

真実：テクノロジーの重要性は明らかですから、この主張は完全に間違いというわけではありません。ただし、サイバー攻撃を実行している相手は機械ではなく人そのものです。実行犯は今後も、静的なテクノロジーによる検知をすり抜ける方法の模索を続けることでしょう。今日のサイバー攻撃に効果的に対応するためには、テクノロジーだけを重視するのではなく、インテリジェンス（脅威情報）および専門知識と組み合わせた適応型防御（Adaptive Defense）を導入する必要があります。

誤解その3：検知と防御に対応していれば、セキュリティ対策はほぼ成功と言える。

真実：セキュリティ対策の成否を判断する際にCEOは、脅威のライフサイクル全体にも目を向けるよう心がける必要があります。成否を見極める上では以下の指標が有効です。

• 解決したインシデントの件数
  
• インシデントの解決に要した時間
• インシデントがビジネスに与えた潜在的な影響
  

セキュリティ投資の短期的および長期的な成果は、成否を判断するための適切な指標、強力なテクノロジー、適切なタイミングで得られる脅威情報、知識豊富な専門家を確保しているかどうかで決まります。

FireEyeのソリューションは、約10倍の投資対効果が見込めます 。導入の後は、より多くの攻撃に対する防御、侵害への効果的な対応、即応性とコスト効率に優れた最新のアプローチに容易に移行して現実のセキュリティ問題に対処可能、といったメリットが期待できます。