効果を測定するために
セキュリティ対策にかける予算は、短期的に測定する費用対効果ではなく、長期的に効果を測定する投資対効果で考えていく必要もあります。効果を測定していくためには、指標が必要になります。これら指標は対策の検討からすでに意識をしておくことが重要です。これら指標をもとに、効果あるセキュリティ対策を行いましょう。
Point① 対策の立案時に効果測定も意識する
リスクを低減するためにセキュリティの対策案を検討します。低減するために、組織や人、技術や物理的な対策を考え導入を進めます。
リスク低減を技術的な対策を用いて実装すると、リスク発生の可能性を減らすことができます。
想定される効果として、6つの顕在化のきっかけが2つ消失し、33%程度の低減効果があると言えます。
実際の場合、「攻撃と思われる通信」が1か月で会社に届く頻度などをUTMを導入する前に計測しておきます。導入する機器のチューニングを行いながら「攻撃と思われる通信」をどの程度防ぐことができるかを検討することで、低減効果を予測することができます。今回の場合は効果測定の方法として、「攻撃と思われる通信」をどの程度防ぐことができるかを数値とし、効果測定のためには「全体の通信量」や「攻撃と思われる通信量」を集めるといった作業が発生し、事前に通信量の計り方を検討しておくことが重要になります。
Point② 効果測定の指標
効果測定の取り方は様々な方法があります。投資対効果としては損害時にかかる費用を算出しておき比較することも重要になります。
| 対策の種類 | 効果測定 |
|---|---|
| 組織 | セキュリティ事故の統計など 例:ヒヤリハットの件数の推移、事故の件数の推移 |
| 人 | アンケート調査など 例:規程の認知度、ルールの認知度 |
| 技術 | ログ統計や通信量の把握など 例:攻撃可能性の通信制御回数など |
| 物理 | 紛失などの統計など 例:PCなどの紛失回数など |
例えば、過去との比較をしていくことで、対策が有効的に働いているかを確認することができます。また、過去との差分を比較することで基準となる数値を導き出し、効果を測定していくという方法もあります。
長期的に効果を測定する投資対効果では、レポートなど定期的なアウトプットを用意し、効果を可視化していく必要があります。
セキュリティ機器が自動でレポートを作成するような機器も多く存在します。また、セキュリティ事故の件数などを観測することも対策に対しての効果を見ることにつながります。
Point① ヒヤリハット・事故件数の収集
従業員からのヒヤリハットや事故件数を観測していくことで、セキュリティの取り組みなどの浸透度や事故発生の会社の状況を把握することができます。
Point② セキュリティ製品のレポート機能活用
※画像はイメージです。
セキュリティ機器は通信の制御をするだけでなく、レポートを抽出する機能があります。攻撃の可能性がある通信の検知状況、通信制御をどの程度実施したかを把握することができます。
通信制御をしていること自体で効果が出ていると考えることもできますが、機器導入前の数値を把握できていると、機器を導入した際の効果をより把握することにつながります。
機器の入れ替えなどの際には、現状を把握し、目指す効果を検討し、比較する数値を定めておくことを意識してはいかがでしょう。