ジュニパーネットワークスが7月22日に発表した調査レポート「The Defender's Dilemma(防御者のジレンマ)」では、企業のセキュリティ投資が増大し続ける一方で、「不安感」の解消にはつながっていない実態が明らかになった。投資対効果を考えた戦略策定のため、その指標となるモデルも公開されている。
ジュニパーの後援によりランド研究所が発行した調査レポート「防御者のジレンマ:サイバーセキュリティの道筋を示す」。サイトからPDFがダウンロードできる
ジュニパーとランド研究所では、昨年のレポート「サイバー闇市場の経済分析」において、アンダーグラウンドマーケットや犯罪組織が行う活動の実態を、「経済活動」という側面から明らかにした(関連記事)。
今回のレポートはその続編であり、防御する側である企業における「防御の経済」、具体的にはセキュリティ投資と実際のビジネスにもたらす影響の関係を洞察している。本レポートは、ランド研究所のセキュリティ専門家が、売上1億ドル規模の企業に所属するCISO(最高情報セキュリティ責任者)18名への詳細なインタビューに基づき執筆している。
セキュリティ投資を増やしても不安は減らない「防御者のジレンマ」
企業のセキュリティ投資額は一般に増加傾向にある。同調査でも、今後10年間で企業全体のセキュリティリスク管理への投資額は38%も増大することが予測されている。しかし、ジュニパー 技術統括本部 統括本部長の加藤浩明氏は、「企業は多大なセキュリティ投資を行っているが、その一方で対策は受動的で常に後手後手に回っており、不安感は解消されていない」と、現在のセキュリティ投資における“ジレンマ”を指摘する。
ジュニパーネットワークス 技術統括本部 統括本部長の加藤浩明氏
セキュリティ投資を増やしても安心感を得ることができない原因について、加藤氏は「サイバー攻撃のリスクがビジネス結果に与える影響を具体化できていない点にある」と説明する。自社にとって個々のセキュリティリスクがどれだけの経済的損害をもたらしうるのか、漠然としているために、いくらセキュリティ投資をしてもそれが十分なものなのかどうかの判断ができないというわけだ。「企業において、(セキュリティリスクが)ビジネスに対するリスクとしてきちんと捉えられていない」(加藤氏)。
ジュニパーでは、「包括的なセキュリティプログラムの目的は、食い止めた攻撃数の測定ではなく、リスク管理による投資リターンや投資によるリスク削減効果(RROI:Reduction of Risk on Investment)を理解することにあるべき」だと述べ、セキュリティリスク管理への投資も、企業における「経済活動」の一環と位置づけて検討すべきであるとしている。
各種要因がコストやリスク削減効果に与える影響をモデル化
ランド研究所では今回のレポートにおいて、企業のセキュリティコストや投資決定に影響する主要な要因群が、それぞれどのように相互作用し、コストやリスク削減効果に影響するのかというヒューリスティックモデルを開発している。具体的には、企業規模や保有する情報の価値といった「組織特性」、セキュリティツール購入費用や従業員のセキュリティ教育費用などの「セキュリティプログラムおよび投資」、IoTデバイスの普及などによる「エコシステムの変化」という3カテゴリ/27のパラメータを用いて、セキュリティリスクの総合的な管理コストをマッピングするための枠組みを提供するものだ。
ジュニパーでは同モデルをベースに、代表的なパラメータのみに絞り込んだインタラクティブサイトを作成し、公開している。「自社の状況を幾つかのパラメータとして入力することで、売上の何%を投資水準とすべきか、セキュリティ投資の方向性を示すもの」(加藤氏)。
ランド研究所が開発したモデル(簡易版)を実装したインタラクティブサイト。自社の状況を入力すると、どの程度のセキュリティ投資をすべきかの水準が表示される
また、ランド研究所のモデルからは5つの主要なコスト要因が特定されており、企業はこれらの要因を踏まえたうえで戦略を考えなければならないとされている。各要因におけるジュニパーの提言を記す。
主要なセキュリティコスト要因5つについて、検討すべきポイント
○多くのセキュリティ・ツールはすぐに効力を失ってしまう
攻撃者側はサンドボックスやアンチウイルスなどの検出システムを攻略する技術を開発し続けており、ランド研究所のモデルでは、こうした防御技術の有効性は「今後10年間で65%低下する」と予測されている。そのため、企業は投資先ツールを慎重に評価し、攻略されにくい技術の選択などに加え、ネットワーク全体での自動化やポリシーエンフォースメントを進める必要がある。
防御技術には「攻撃者に攻略されやすい」もの、「攻略されにくい」ものがある。攻略されにくいものへの投資は効果が高い
○人材に投資することが長期的な費用削減につながる
セキュリティ管理とプロセスの自動化をサポートする技術、従業員への高度なセキュリティ研修、セキュリティ担当者の増員など、人材を重視したセキュリティへの投資が大きなメリットをもたらす。従業員のセキュリティ意欲レベルが非常に低い/高い場合を比較すると、1年目で19%の差、10年目で28%もの費用差につながる。
○すべての問題に適用できる万能の解決策はない
企業規模や保有する情報の種類(価値)、セキュリティ担当者の意識レベルなどの違いにより、経済的に最適な戦略は異なる。たとえば、中小企業の場合は複雑なセキュリティ研修よりは基本的なツールやポリシーに投資したほうが効果が高く、逆に大企業では1人あたりの研修コストが安くなるためそうした投資の効果が高い。
たとえば、従業員に対する高度なセキュリティ教育を行うことの投資対効果は、企業規模により異なる。つまり「どの企業にも最適な投資戦略」は存在しない
○IoTは岐路に立っている
IoTはセキュリティ費用全般に影響を及ぼすが、それがプラス/マイナスのどちらに影響するのかは不明確である。適切に管理すれば長期的なコスト削減になるが、効果的なセキュリティ管理ができていない企業がIoTを導入すると「今後10年間でサイバー攻撃被害が30%増加する」と示唆されている。
○ソフトウェア脆弱性が排除できれば大幅なコスト削減が可能
ランド研究所のモデルでは、セキュリティ費用を増大させる最大の課題としてソフトウェアの脆弱性を挙げている。たとえば、脆弱性の発生頻度を半減させることができれば、企業のセキュリティコストは25%削減することができると予測される。そのため、ソフトウェア開発元が脅威を事前に発見し、脆弱性の少ないソフトウェアを開発するためのインセンティブが求められる。
加藤氏は今回のレポートのまとめとして、次のように述べた。
「企業にとっては『(セキュリティ対策で)発生するコスト』とその『効果』を個々にマッピングする(できる)ことが、戦略を立てるうえで非常に重要となる。そのため、今回のランド研究所のモデルは、企業がとるべきセキュリティ戦略の方向性を示すのに非常に有効だと考えている。セキュリティが企業にもたらすエコノミクスの影響は非常に大きく、場合によっては現状のセキュリティ戦略全体を変更することが必要かもしれない」
