CEOが把握しておくべきセキュリティ対策のROI： セキュリティ投資はハイ・リターン

変化し続けるサイバー犯罪

かつては遊び半分の行為に過ぎなかったサイバー犯罪は、今日では組織化された集団によるビジネスと化し、以下のような被害を引き起こしています。

• 重要な機密情報を窃取され、市場での競争力を失う。このような被害を回避するには、データ保護対策が不可欠です。 
• 信頼性が損なわれ、市場シェアを失う。セキュリティ侵害は、顧客の信頼の失墜にもつながります。 
• セキュリティ侵害を受けた後の対応、システムの復旧、セキュリティの強化などの作業によって業務に支障が生じる。
  
• 法規制の不遵守や訴訟手続きにより、課金や費用が発生する可能性がある。

CEOは、どの程度のセキュリティ対策であれば十分と言えるのか、投資対効果はどのように評価しているか、さらにセキュリティの投資対効果を最大限に高めるにはどうすれば良いか、などの点について検討する必要があります。

サイバー・セキュリティに関する典型的な誤解

誤解その1：セキュリティ・ソリューションを追加すれば、セキュリティは強化される。

真実：アンチウイルス・ソフトウェアやファイアウォールなど、従来型のセキュリティ・ソリューションの追加は、最高経営責任者（CEO）にとって望ましくない選択肢です。標準的なセキュリティ・ソリューションを増やせば、時間やコスト、人員がさらに必要になるケースがほとんどだからです。新しいソリューションを導入しても、セキュリティ担当者に対するトレーニングを省いたり、知識不足であったりすれば、このようなソリューションから生成されるアラートの内容を誤解してしまい、ますます増える誤検知への対応に追われる羽目になります。結果的に本物の脅威を検知するまで時間を要し、セキュリティ対策の全体的な効果が低下してしまいます。

誤解その2：テクノロジーが向上すれば、セキュリティは強化される。

真実：テクノロジーの重要性は明らかですから、この主張は完全に間違いというわけではありません。ただし、サイバー攻撃を実行している相手は機械ではなく人そのものです。実行犯は今後も、静的なテクノロジーによる検知をすり抜ける方法の模索を続けることでしょう。今日のサイバー攻撃に効果的に対応するためには、テクノロジーだけを重視するのではなく、インテリジェンス（脅威情報）および専門知識と組み合わせた適応型防御（Adaptive Defense）を導入する必要があります。

誤解その3：検知と防御に対応していれば、セキュリティ対策はほぼ成功と言える。

真実：セキュリティ対策の成否を判断する際にCEOは、脅威のライフサイクル全体にも目を向けるよう心がける必要があります。成否を見極める上では以下の指標が有効です。

• 解決したインシデントの件数 
• インシデントの解決に要した時間 
• インシデントがビジネスに与えた潜在的な影響

セキュリティ投資の短期的および長期的な成果は、成否を判断するための適切な指標、強力なテクノロジー、適切なタイミングで得られる脅威情報、知識豊富な専門家を確保しているかどうかで決まります。

FireEyeのソリューションは、約10倍の投資対効果が見込めます 。導入の後は、より多くの攻撃に対する防御、侵害への効果的な対応、即応性とコスト効率に優れた最新のアプローチに容易に移行して現実のセキュリティ問題に対処可能、といったメリットが期待できます。