セキュリティコストを抑えるためには、セキュリティ対策製品を上手に選んで運用することも欠かせない。製品選びと運用のコツを知ろう。

 「セキュリティ製品はただ導入すればよいわけではない。運用できるかを重視する」―。このように話すのはPwCコンサルティングの道輪和也マネージャーだ。高価なセキュリティ製品を購入しても、適切に運用できなければ、その効果は限定される。結局、宝の持ち腐れとなり、製品コストのムダにつながる。

 運用できるかどうかの判断は、(1)ログを分析できるか、(2)ホワイトリストを正しく設定できるか、(3)ブラックリスト方式のシグネチャーを更新し続けられるのか──の3点を考えたい。

 (1)のログの分析から説明する。セキュリティ製品は、大量のログやアラートを出力する。セキュリティ担当者は、これらを分析し、自社がどのような攻撃を受けているのかを把握しなければならない。

 問題になるのは、担当者が諦めてしまう場合だ。大量のログやアラートを確認するのが面倒になり、これらの出力を止めるといった設定を施すこともある。これでは「新たな攻撃が発生した際に記録が残らず、アラートにも気付けなくなってしまう」(道輪マネージャー)。

運用できなければ導入効果は薄い
[画像のクリックで拡大表示]

 WAF(Webアプリケーションファイアウォール)などのセキュリティ製品は、ホワイトリスト方式を使ってアクセスできるWebサイトを限定したり、ホワイトリストに合致しない通信を不正なものとして検出したりできる。しかし、ホワイトリストの運用コストは見落としがちだ。正しい通信でもホワイトリストに登録されていなければアクセスできなくなる。社員が使うサービスをホワイトリストに追加するだけでも相当な作業量になる。これが(2)に当たる。

 ホワイトリスト方式よりは運用が楽な(3)のブラックリスト方式では、「シグネチャーのチューニングが必要」(PwCコンサルティングの小濱奈美マネージャー)という。ブラックリスト方式では、攻撃パターンを検知し、該当するアクセスをブロックする。この方式には、シグネチャーの更新という作業が待っている。「自社用のシグネチャーチューニングは本当に大変な作業になる」(小濱マネージャー)。

 ここまで説明したように、WAFなどのセキュリティ製品には、運用コストがつきまとう。PwCコンサルティングの飯村正彦マーケティング ポピュライザー シニアマネージャーは「中小企業では、全て自社で運用するのは難しい」と話す。

 では、WAFを導入したい企業は、どうすればよいのだろうか。主な解決策は、「クラウド型WAFを利用する、またはセキュリティ機能付きのハウジングサービスを使う」(飯村マネージャー)があるという。自社で運用できなければ、外部に運用を任せるしかないからだ。また、クラウド型WAFには、物理的なアプライアンスが必要にならないため、WAF製品を購入するより安価に導入できるというコストメリットもある。

この先は有料会員の登録が必要です。「日経SYSTEMS」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら