12月の予算会議は予測可能なパターンに従います。未使用の資金、セキュリティギャップのリスト、そして会計年度が終了する前に進捗を示すプレッシャー。問題は「使うかどうか」ではなく、「どのように使えば実際のリスクを減らし、来年の予算申請の勢いをつけられるか」です。
ベンダーの希望リストやカンファレンスで流行のバズワードは避けましょう。代わりに、残りの予算は測定可能なセキュリティ改善をもたらし、将来の予算議論に備えた防御可能な監査証跡を作る投資に集中させましょう。
最も高いビジネスリスクを生むセキュリティギャップを特定する
まず、自社の業務、顧客データ、または法規制遵守を直接脅かす脆弱性から着手しましょう。顧客向け認証システムの脆弱性は、3つの別々な侵害が必要な理論的な攻撃チェーンよりもはるかに重要です。
次に、潜在的なインシデントをビジネスへの影響にマッピングします。
最後に、恐怖心ではなくビジネスへの影響度でセキュリティギャップに優先順位を付けましょう。深刻度スコアや脅威インテリジェンスレポートは参考になりますが、財務・法務チームはビジネスリスクをCVSS評価よりもよく理解しています。そして、最終的に説得すべき相手は彼らです。
最速でリスクを減らすためにID管理を強化する
弱い認証情報や過剰なアクセス権は、攻撃者が最も頻繁に悪用する隙を生みます。しかし朗報なのは、ID中心のコントロールによって数週間でリスクを大幅に減らせることです。
IDファーストの投資の効果を得るには、以下に注力しましょう:
- MFAの拡大:メールやVPNだけでなく、多要素認証を管理者コンソール、サービスデスクポータル、クラウド管理インターフェース、その他昇格権限を持つ全てのシステムに適用しましょう。
- 特権アカウント管理の強化:攻撃者は特権認証情報を狙います。なぜなら、ほとんどのセキュリティ層をバイパスできるからです。彼らを楽にさせる必要はありません。代わりに、ジャストインタイムのアクセス付与、管理操作のセッション記録、機密操作の承認ワークフローを実装しましょう。
- 未使用のActive Directory(AD)アカウントの監査:非アクティブまたは孤立したアカウントを特定・削除することで、不正アクセス、内部脅威、認証情報の悪用リスクを減らせます。定期的な監査はセキュリティ基準やデータ保護規制の遵守維持にも役立ち、重要システムへのアクセスがアクティブかつ認可されたユーザーのみに限定されることを保証します。弊社の無料・読み取り専用ツールでAD監査を実施できます:Specops Password Auditor。
- システム間での認証情報の使い回し削減:パスワードを複数システムで使い回すユーザーは、ドミノ効果を生みます。ハッカーは1つのシステムを侵害すれば、同じ認証情報で他の全てにアクセスできてしまいます。これを防ぐには、既知の漏洩パスワードをブロックし、環境全体で一意の認証情報を強制しましょう。Specops Password PolicyのようなソリューションはActive Directoryと直接連携し、ディレクトリレベルで漏洩認証情報を防ぎます。
使われないツールより成果重視のセキュリティ施策を優先する
年末の予算プレッシャーで、Q2まで構成しないプラットフォームを購入したくなる誘惑に駆られますが、その罠にはまらないでください。代わりに、実用的な成果を生む施策を購入しましょう。
検討すべき成果重視の施策例
- 攻撃対象領域のレビュー。外部アセッサーがインターネットに公開された資産をカタログ化し、設定ミスを特定し、悪用可能性で修正の優先順位を付けます。新たなダッシュボードではなく、優先順位付きの作業リストが得られます。
- テーブルトップ型インシデント対応演習。シミュレーションシナリオで、コミュニケーション、文書化、意思決定権限のギャップが明らかになります。ファシリテーターが発見事項を文書化し、将来のIR投資を正当化する具体的な改善策を提案します。
- パープルチームテスト。レッドチームとブルーチームの合同演習で、検知能力を検証し、モニタリングの盲点を明らかにします。レポートは追加の可視性や対応能力が必要な箇所を正確に示し、「なぜもっとセキュリティ担当が必要なのか」という議論の材料になります。
これらの施策は多くのソフトウェアライセンスよりも安価で、来年の予算申請を強化する文書も生成します。
ベンダーの重複を減らしコストと複雑さを削減する
多くの組織では、機能が重複するセキュリティツールを複数運用しており、カバレッジは向上せず、複雑さだけが増しています。スタックを統合することで複雑さを減らし、ユーザー体験を向上させ、ヘルプデスクのチケットも削減できます。その分のコストをID管理やインシデント対応力、セキュリティ自動化に再投資しましょう。
まずは現在のスタックを監査し、以下のような冗長ツールを特定しましょう:
- 複数の脆弱性スキャナー
- 重複するパスワードマネージャー
- クラウドサービス、VPN、オンプレミスアプリ用の別々のMFAソリューション
それぞれの重複は、無駄なライセンス費用や管理コスト、同じ問題を3つのツールが警告することでのアラート疲れを意味します。
重複を特定したら、年末のタイミングを活用しましょう。多くのベンダーは四半期末の目標達成のために割引を提供するので、サポート契約の再交渉や、利用頻度の低い製品の非更新をちらつかせることも検討しましょう。
摩擦の少ない継続性コントロールで重要期間のダウンタイムを防ぐ
一部のセキュリティ投資は、重要な時期の壊滅的な障害を防ぐことで価値を発揮します。これらの購入は比較的安価ですが、ダウンタイムに対する大きな保険となります。
まずはインシデント対応リテイナーから始めましょう。インフラが炎上している最中に時間単価を交渉したい人はいません。フォレンジックや復旧スペシャリストと事前に契約を結ぶことで、調達の遅れを排除し、緊急時に標準価格が3倍になる前に料金を固定できます。
次に、クラウドやCDNのサージキャパシティを確保してインフラのレジリエンスを高めましょう。DDoS攻撃やトラフィックスパイクは高収益期の可用性を脅かしますが、事前設定されたスケーリングルールや予約キャパシティがあれば、手動介入なしで攻撃を吸収できます。
認証キャパシティの計画も忘れずに。MFAや特権アクセス管理システムの緊急ライセンスを今のうちに購入しておけば、インフラ変更やセキュリティインシデント時に迅速に追加キャパシティを展開できます。
ピーク時期の前にパフォーマンステストをスケジューリングし、収益に影響する障害が起きる前にキャパシティの前提を検証しましょう。
文書化で来年の予算ポジションを強化する
年末の支出は正当化できなければなりません。今少し文書化しておくだけで、来年の予算プロセスが格段に楽になります。
- 各投資機会のシンプルなビジネスケースを作成。対処するリスク、期待される成果、成功指標を文書化しましょう。資本支出用の長文は不要です。2~3段落の要約で財務チームも満足し、監査証跡も作れます。
- 導入前にKPIを定義。数字は言葉よりも経営層を納得させます。新しいコントロール導入前に、認証失敗、特権アクセス申請、パスワードリセット、インシデント対応時間などのベースラインを測定しましょう。導入後の指標が価値を証明し、追加投資の根拠になります。
- コンプライアンスフレームワーク向けの監査対応証拠を作成。セキュリティ質問票や認証監査は、支出をコントロール目標に直接マッピングできれば簡単になります。そのためにも、各購入がどのコントロール要件をサポートするか文書化しましょう。
年末予算は戦略的に使い、反応的に使わない
年末の予算プレッシャーは、賢く使うよりも早く使いたくなる誘惑を生みます。どの時期でも予算を最大限活用するには、ID関連リスクを減らし、実用的な成果をもたらし、将来の申請用文書を構築できる投資を優先しましょう。
ベンダーはどこにも行きません。本当にリスクを減らすセキュリティに投資しましょう。チェックリストを埋めるためではなく。
さらなるサポートが必要ですか?Specopsの専門家にご相談ください。
翻訳元: https://www.bleepingcomputer.com/news/security/year-end-approaches-how-to-maximize-your-cyber-spend/
