セキュリティの成熟度モデル：最適な企業セキュリティ

企業が講じるセキュリティ対策では「方針の改善」「リスク削減」「コストダウン」が望まれる場合が多い。こうした要求を達成していくための方法を解説する。

[Matt Fairbanks，McAfee Blog Central]

（このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。）

　企業ユーザーとのセキュリティにおける話し合いにおいて、大抵の場合、議題となるのが「今、企業のセキュリティプログラムはどうなっていますか」「今後はどうなってほしいと思いますか」という2つの質問です。多くの企業にとって、その答えはシンプルで、いずれの質問に対しても「全体的なセキュリティ方針の改善」「リスク削減」「コストダウン」を望んでいます。しかし、どのようにすればこれらを達成できるのでしょうか。これから「最適な企業セキュリティ」と題し、企業セキュリティを実行する際に必要な他社の状態とのベンチマーク方法（編注：自社のセキュリティの状況を他社の状況と比較すること）や、最適なセキュリティプログラムの3要素などを通し、適切なセキュリティ体制の在り方について、解説していきます。

　企業セキュリティに関して1つ確実に言えることは、企業のセキュリティ対策が適切に行われていれば、他社のセキュリティ状態をベンチマークすることによって、自社のセキュリティプログラムのコストや効果の測定が可能になり、同時に将来計画の戦略的ロードマップを作成することができるということです。

　この他社のセキュリティ状態を企業セキュリティにおける成熟度としてモデル化を行い、段階別に考えてみましょう。セキュリティの成熟度は大きく、「反応性」「準拠性」「積極性」「最適化」の4段階に分けられます。

反応性：この段階は、簡単に言えば、発生したインシデントに、企業が対処しようとすることです。大抵の企業は、最も基本的な脅威への対処を少ないセキュリティ予算で行っています。しかし、全体的にリスクが高いだけでなく、反応性の高いセキュリティは、将来的にITコストの高コスト化を引き起こす可能性があります。

準拠性：この段階で、企業はPCI、SOX、FISMA、HIPAAといった社外コンプライアンスの義務に応じるため、セキュリティ方針やプロセスを定義し始めます。この段階には幾つかの標準化がありますが、大抵の場合、コスト（資本コストやリソースコスト）が非常に高いことに変わりはありません。各テクノロジーに共通点がなく、セキュリティプロセスも未完成だからです。

積極性：この段階で、企業はセキュリティの一元管理から得る効率性を検討し始めます。通常はプロセスの方が成熟度が高いため、企業はコンプライアンス規制に取り組むことが一般的です。横断的統合は増えますが、すべてのセキュリティ技術とプロセスが相互に活用し合っているわけではありません。また、多数のポイントツールが使用されているため、コストは依然、高額なままです。

最適化：この段階では、さまざまなセキュリティテクノロジーが点在しており、統合することもできます。リスク認識、管理、方針の定義は完全に一元化され、コンプライアンスは自動化されます。脅威情報はリアルタイムに更新され、相互に関連付けられます。同時に、1カ所のセンサーテクノロジーからの情報が、ほかの機能やテクノロジーに活用されます。ある企業では、重層的な防御と脅威情報の一元管理化を組み合わせて、IT保護強化とセキュリティコスト総額の大幅削減につなげました。

　これらは、企業セキュリティの成熟段階をどのように特徴付けるかということの一断片にすぎません。今後は、各段階、そして最適化されたセキュリティプログラムの計画要素を深耕していくことが重要といえるでしょう。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

原文へのリンク