最適な企業セキュリティ-第1回:セキュリティの成熟度モデル

2010/11/04

企業ユーザーとのセキュリティにおける話し合いにおいて、たいていの場合、議題となるのは「今、企業のセキュリティプログラムはどうなっていますか」「今後はどうなってほしいと思いますか」という2つの質問です。多くの企業にとって、その答えはシンプルで、いずれの質問に対しても「全体的なセキュリティ方針の改善」「リスク削減」「コストダウン」を望んでいます。しかし、どのようにすればこれらを達成できるのでしょうか。これから「最適な企業セキュリティ」と題し、企業セキュリティを実行する際に必要な他社状態のベンチマーク方法や、最適なセキュリティプログラムの3要素などを通し、適切なセキュリティ体制の在り方について、解説していきます。(全5回)

企業セキュリティに関して一つ確実に言えることは、企業セキュリティが適切に行われていれば、他社のセキュリティ状態をベンチマークすることによって、自社のセキュリティプログラムのコストや効果の測定が可能になり、同時に将来計画の戦略的ロードマップを作成することができる、ということです。

この他社のセキュリティ状態を企業セキュリティにおける成熟度としてモデル化を行い、段階別に考えてみましょう。セキュリティの成熟度は大きく、反応性、準拠性、積極性、最適化の4段階にわけられます。

反応性:この段階は、簡単に言えば、発生したインシデントに、企業が対処しようとすることです。たいていの企業は、最も基本的な脅威への対処を少ないセキュリティ予算で行っています。しかし、全体的にリスクが高いだけでなく反応性の高いセキュリティは、将来的にITコストの高コスト化を引き起こす可能性があります。

準拠性:この段階で、企業はPCI、SOX、FISMA、HIPAAといった社外コンプライアンスの義務に応じるため、セキュリティ方針やプロセスを定義し始めます。この段階にはいくつかの標準化がありますが、たいていの場合、コスト(資本コストやリソースコスト)が非常に高いことに変わりはありません。各テクノロジーに共通点がなく、セキュリティプロセスも未完成だからです。

積極性:この段階で、企業は、セキュリティの一元管理から得る効率性を検討し始めます。通常、プロセスのほうが成熟度が高いため、企業はコンプライアンス規制に取り組むことが一般的です。横断的統合は増えますが、すべてのセキュリティ技術とプロセスが相互に活用し合っているわけではありません。また、多数のポイントツールが使用されているため、コストは依然、高額なままです。

最適化:この段階では、さまざまなセキュリティテクノロジが点在しており、統合することもできます。リスク認識、管理、方針の定義は完全に一元化され、コンプライアンスは自動化されます。脅威情報はリアルタイムで更新され、相互に関連付けられます。同時に、1カ所のセンサーテクノロジからの情報が、他の機能やテクノロジに活用されます。ある企業では、重層的な防御と脅威情報の一元管理化を組み合わせて、IT保護強化とセキュリティコスト総額の大幅削減につなげました。

これらは、企業セキュリティの成熟段階をどのように特徴付けるかということの一断片にすぎません。今後は、各段階、そして最適化されたセキュリティプログラムの計画要素を深耕していくことが重要といえるでしょう。