2024年2月9日

※For the English version, please refer to here.

NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの森本です。
本ブログでは、セキュリティ対策を導入する際の手段となるビルトイン機能、自社開発、無償ツール、有償製品、クラウドサービスなどの特徴や選び方について紹介いたします。

セキュリティ対策は情報システム上にある保護すべき情報資産へのリスクに対処するために導入されます。このリスクとは、直接的には情報資産の漏えいや改ざんなどが該当しますが、企業経営の観点では業務停止、信用失墜、法的措置のようなビジネスリスクにつながります。リスクへの対応方針は、回避、低減、移転、許容に分類されますが、特にリスクの大きさを抑える低減アプローチを採用した際にセキュリティ対策の実施が選択肢となります。ただし、セキュリティ対策の導入には製品購入や運用コストなど、相応のコストが発生するため、対策不足や過剰な対策を防ぎつつ、システムに合ったリスクの対処・低減が求められます。また、暗号化やアクセス制御などをはじめとしたセキュリティ機能の多くはソフトウェアによる実装として提供されます。このとき、セキュリティ機能の導入方法には、ビルトイン機能、自社開発、OSS、有償製品、クラウドサービスなどいくつかの手段があります。これらの実体は同じソフトウェアであるため大きな違いはないように見えますが、導入方法の特性に起因するメリットやデメリットが存在します。社内でも「予算がないためこのセキュリティ対策は断念する」、「導入コストが低いのでOSSツールを選択する」、「とりあえず高機能な有償製品を選択する」といった判断を目にすることがありますが、果たして最も適切、つまり費用対効果の高い方法を選択できているといえるでしょうか。

そこで、今回はソフトウェアを利用したセキュリティ機能の導入方法として、ビルトイン機能、自社開発、OSS、有償製品、クラウドサービスを挙げ、主に費用対効果の観点に焦点をあてながらそれぞれの特徴を解説します。なお、本ブログは、特定の技術分野や具体的な製品に絞って紹介や推奨をするものではなく、ソフトウェア実装されたセキュリティ機能の導入方法を検討する際に広く共通する観点に重きを置いています。

ビルトイン機能

情報システムは主目的となる機能面の要件を満たすために各物理端末やその上で動作するソフトウェア・サービスの組合せによって構成されます。これらのコンポーネントはOS、ミドルウェア、アプリケーションなどが考えられますが、多くの場合、有用なセキュリティ機能も内蔵しています。具体的にはパスワードポリシの設定機能や暗号化機能など、追加のソフトウェアを導入せずとも事前に用意されたコマンド、設定操作によって低コストでセキュリティ機能の有効化が期待できます。そのため、ビルトインのセキュリティ機能は費用対効果が高い傾向にあり、優先して検討したいアプローチといえます。一方で、必ずしも要求水準の機能が提供されないケースもあるため、その際には後述する追加のソフトウェアコンポーネントをシステムに組み込むというアプローチを検討することになります。

自社開発

ビルトイン機能による対策が難しい場合は、何らかの方法でセキュリティ機能を備えた専用コンポーネント(ツール、サービス等)が必要となります。このアプローチの一つとして、必要な機能を自社内で新しく内製化する方法が挙げられます。このアプローチは機能要件や非機能要件に関わらず柔軟な開発ができ、仕様の透明性確保や知見が社内に蓄積するという大きな利点がある一方、設備投資・人材育成・運用コストなど、多くの時間と労力を要する傾向があります。そのため、内製開発は、自社の競争優位性に関係する機能を優先して実施したほうがより高い投資対効果を期待できます。したがって、セキュリティ要件に特定のニーズがあるケースや開発した機能を自社サービス、自社製品として展開するようなケースでは妥当なアプローチとなりえますが、一般的にセキュリティ機能導入の目的はあくまで情報システムの情報資産を保護することであり、内製化の費用対効果が必ずしも見合わない点には注意が必要です。

有償製品

セキュリティ機能をアウトソースする方法には、他社が提供するセキュリティ製品を導入する方法や後述するフリーソフトウェアやOSSを導入する方法があります。有償製品の機能やライセンス体系は様々ですが、一般的に高機能で保守サポートなどが充実している点が挙げられます。情報システムを保護する機能はもちろんですが、製品に障害等が発生した場合であっても専門的なサポートを得られる点は魅力といえます。特に、セキュリティ製品やセキュリティサービスを提供するベンダは技術力や専門知識の蓄積があり、自社内で一から取り組むよりも、商用製品を導入した方が高い効果を見込める場合もあります。ただし、製品の購入費用などの初期投資は比較的高額となるため、予算の確保が難しいシステムや求められるセキュリティ要件が高くないシステムでは、オーバースペックとなってしまうことも考えられます。さらに、商用製品は内部仕様が非公開となっていることにより、機能拡張が限定されている事や自社内でのトラブル解決が難しくなる傾向もあります。

無償ツール

フリーソフトウェアやOSSは、ライセンスにより商用利用等の制約がつくものもありますが、基本的に無償で利用することができます。導入自体の費用が抑えられる点は有償製品と比較した際の大きなメリットと言えます。機能や品質については、開発元のコミュニティに依存しますが、多くの技術者により改良やテストが行われることで十分に担保されているケースもあります。さらに、OSSであればソースコードも公開されているため、必要に応じて機能拡張を行う余地もあります。
無償ツールの注意点として、商用製品と異なりベンダによるサポートを受けられないことが挙げれられます。つまり、ツール導入、運用、管理を自社で全面的に行う必要があるため、対応可能な担当者を確保できていない場合は、人材教育をはじめ、多くのコストがかかる可能性があります。

クラウドサービス

近年はクラウドサービスとして提供されるセキュリティ機能を利用する選択肢も登場しています。このようなサービスは、基本的にはクラウドサービスに共通する特徴を有しています。サービスを導入する際にインフラの管理が不要である点や従量課金制により利用費用を抑えやすいことは利点といえます(サービスのライセンス形態によっては従量課金でないケースもあります)。加えて、同一のクラウドサービスプロバイダから提供されるクラウドサービス同士は親和性も高く、導入時間の短縮や統合管理などにも向いている傾向があります。
一方、利用するには基本的にインターネット経由のアクセスが必要となる点やデータが保管される地域に応じた法規制等を考慮しなければならない点には注意が必要です。加えて、適切にサービスを利用するためには、責任共有モデルへの理解も求められます。多くの管理範囲がクラウドサービスプロバイダの責任であったとしても利用者に委ねられた範囲の管理を怠ると、有効に機能しないのみならず、セキュリティ上の欠陥にもなり得ます。例えば、管理コンソールへのアクセスはセキュリティサービス自体への操作に限らず、ネットワーク経由でつながる社内システムにも影響を与える可能性があるため、利用者側に提供された認証認可等の機能は適切に管理する必要があります。また、運用中のシステムを監視するサービスでは、具体的な監視ポリシの設定は利用者側に委ねられているケースもあります。導入前にこのような観点を見落とすと思わぬリスクやコストに直面する可能性があります。

フルマネージドサービス

ここまでご紹介したアプローチとは少々異なりますが、関連するサービスとして最後にフルマネージドサービスについても触れます。前述のとおり、セキュリティ機能の導入や管理には人材確保や運用コストが少なからず発生します。フルマネージドサービスは、有償製品や無償ツールに限らず、本来組織内で行われる運用や保守の作業を委託できるサービスになります。組織内において人材確保が難しい場合やツールに関する知見が不足している場合には有効な選択肢といえます。
ただし、サポート内容が充実していることから高いコストがかかる点や中長期的な視点で社内に知見等が蓄積しない点は考慮する必要があります。
フルマネージドサービスは有償製品やクラウドサービスのバンドルとして提供されるケースが多い印象ですが、OSSの提供元によっては一定のサポートを有償提供しているケースも見受けられます。

まとめ

今回はソフトウェアを利用したセキュリティ機能の導入方法に注目してメリットやデメリットを紹介しました。導入検討時にはツールの機能自体や初期コストに目が行きがちですが、その他にも考慮事項があり、事前に費用対効果を見積もるための重要な要素となります。予算が潤沢な場合や高いセキュリティ機能が求められる場合には商用製品の導入が選択肢に入るケースもあります。その場合は求める機能やサポートが十分に得られるか、オーバースペックな機能になっていないか確認するとよいでしょう。また、予算が限られていたとしても、セキュリティ対策自体を断念するのではなく、ビルトイン機能やOSS、場合によってはクラウドサービスなどによる対策方法の模索が考えられます。もちろん扱う情報資産の重要度や求められるセキュリティ機能の種類は様々で、この他にも多層防御との兼合いや開発対象の情報システムとの相性など、必ずしも上述の観点のみで選定されるべきものではありませんが、セキュリティ機能の導入方法を検討する際の観点の一つとして参考になれば幸いです。

執筆者の他の記事を読む