セキュリティ対策ツール選定の前にやるべきこと!【GPS理論】で行動する

Security
2024.07.15

セキュリティ対策を始めるにしても、具体的に出てくるのはとるべき行動よりも疑問や不安の方が多いんだよなぁ…と、感じる中小企業の経営者は多いのではなかろうか。何をするにしても決して少なくはない投資が必要となるからだ。思い切って決断したはいいが、結果は大失敗なんてことになればIT投資全体への投資意欲も失せてしまうことになるだろう。

とりあえず、何か対策ツールを導入しなければ…と、思い立った時に出てくるのが…

疑問と不安…

✔️ セキュリティソフトってどんなものがあるんだ?
✔️ 何を買ったらいいだろう?
✔️ 無料ソフトって大丈夫かな?

これらの疑問や不安は「GPS理論」に照らし合わせて考えたら解決する。本記事はセキュリティ対策の第一歩としてやるべきこと、やっておくべきことを丁寧に具体的に解説してます。是非、最後までお読みください。

・セキュリティソフトの選択は「GPS理論」できまる
・何から?何を買う?と、迷わなくなる理由
・無料ソフトを使うなら注意すべきこと3つ!

セキュリティソフトの選択はGPS理論で決まる!

セキュリティ対策の第一歩は何か?その答えは「GPS理論」で考える。です。これは私が提唱する適切(私は正しいと言いたいのだが)なプロセスです。GPS理論は無駄も失敗も排除できる考え方です。極めてシンプルなものです。「そう言われたら、確かにそうだよな..」と理解いただけるかと思います。

情報収集からはじめてはいけません!失敗します!

その分野における知識や経験がなければ、まずはググってみる。お金もかからず瞬時に多くの情報が得られるわけだから、その行動は妥当と言える。だが、セキュリティ対策を考える上ではこれは適切であると言えない。いや、多分…失敗することになる。

セキュリティに関する情報発信はほとんどがセキュリティ対策ツールやサービスを販売するベンダーのものだ。自社の製品は優れている。買ってください!と誘導するためのコンテンツが並んでいるだけで、あなたが欲しいと思っている情報ではないはずだ(多くの人はここで勘違いか、誤解をすることになる)

人気のソフトウェアランキングというコンテンツもあるが、人気があるとはどういう定義なのかも明確ではない。売上で順位づけされているとしても「売れている=あなたに必要なもの」ではない。売れているから買ってはみたけどなんか、うちには合わないなぁ…ここまでの機能は不要だった…結構、メンテナンスが必要でそんなことやってる暇ないし…など、失敗することになる。

第一歩のググってみる。これが間違った行動なのだ。やるべきことは、どんなものがあるかを探すことではなく、自社がどうなっているかを把握することである。

・なぜ、セキュリティ対策ソフトを導入しようと思ったのか?
・どこに不安があるのか?
・では、実際それってどうなっているのか…これが現状把握である

USBメモリの紛失でデータが流出するというインシデントがよくあるようなのでうちの会社ではUSBメモリの使用を禁止した方がいいな。ルールだけあっても不安なので禁止ソフトを導入しよう!なんかいいソフトないかなぁ…?ググってみよう!

まぁ、ここまで単純ではないかもしれないが、このような観点と思考でセキュリティ対策をしようとする企業や人を私は何人も見てきている。結果として失敗する。この例の場合、USBメモリを使用している人は何人?頻度は?なんのため?どういうデータを持ち歩くのか?…等々…現状を正確に把握しなければ、禁止することで業務が回らなくなってしまうこともある。

全てを禁止にしないとした場合、それを制御するにはルールを決めて誰かがその操作をしなければならない。そのためのワークフローや担当決めが必要であり、担当者不在時で緊急を要する場合の対策など、事前に考えておくべきことは多々あるのだ。これも現状把握の一つと言える。

今、どうなっているのかを調べた結果、USBメモリを使っている人は1人しかいなくて、それも便利だからという理由だとしたらソフトを買う必要があるのだろうか?まったく無意味であり無駄ということになる。

失敗しないための考え方がGPS理論なのだ。

GPS理論で行動すれば失敗しない

GPSは「Global Positioning System」の略で全地球測位システムのことである。カーナビでお馴染みだと思うが、この仕組みというか考え方をセキュリティ対策に用いる…いや、同じように考えたらいいのだ。

カーナビは、目的地を設定しルート案内を開始すると道順を示し、行きたいところへと導いてくれる。この時、意識することはないかもしれないが大事なものは「現在地」である。今、どこにいるかが把握されているから目的地に到達できるのである。

どこにいるか認識できなければ、どんなに優秀なカーナビでも道順を示してくれることはない。ここに行こう!と決めてもそれは叶わないのだ。セキュリティ対策も同様である。USBメモリによるデータ流出を防止しよう!ソフトを買おう!ではなく、USBメモリの利用状況はどうなっているのか?まずは現状を把握(現在地)してから、どうするか(どのルートを選択するか)を決めよう!

これが適切なプロセスである。カーナビは画面の枠のどこかに「現在地」というボタンがあるはずだ。電波状況が悪いと現在地が特定されない(たまに地図で見ると海上を走破している状態を経験された方も多いと思うが)ことがあるので、そのボタンを押すことで常に現在地を確認できるようになっている。

セキュリティ対策におけるGPS理論とは、理想の運用状態(目的地)に対して今どうなっているのか現状把握(現在地)をしてから、対策を検討(ルート案内開始)するという考え方を呼称化したものだ。

セキュリティ対策ツール選定に迷わなくなる理由

GPS理論によって現状が把握できたら、やるべきことは自ずと決まってくるのだ。

数字で定量的に必要な要件を導く

どうやって現状把握をするのか?現状分析と言い換えてもいいかもしれないが大事なことは定量的に可視化することである。先ほどのUSBメモリについて現状把握をする場合

・何人?
・何台(PC)?
・頻度(毎日、1時間に1回、月に1回など)
・USBメモリの数量

いつ、どこで、誰が、なんのために、どのくらいの頻度で使われているのか?それは全体の何パーセントを占めるのか?コピーされているデータはどのようなものか?

・営業情報
・個人情報(顧客?取引先?社員?)
・機密情報(特許データなど)
・試験データ       ….等々….

どの情報がUSBメモリにコピーされ、それぞれのデータの機密性評価も必要となる。流出した場合の、社会的な影響度、直接的な事業への影響、リカバリーの範囲とコストなどから、リスクの高低を精査・分析しなければならない。

ここまでしっかり現状把握ができれば、ツールの導入、運用ルール策定と教育で使用可とする、使用禁止にするなど、効果的な対策を選択できるようになる。

現状把握については、詳しく論じた自著:「IT顧問のススメ」に記載があるので是非、それを一読いただきたい。

「IT顧問のススメ」是非、ご一読ください。
画像をクリックしてダウンロードしてください。

優先順位=[重要度]+[緊急度]が可視化される

セキュリティ対策要件は多々ある。

・暗号化
・バックアップ
・メールアクセス
・Webアクセス
・ウイルス対策
・ソフトウェアのバージョン管理
・リモートアクセス    ….等々….

何を優先して、すぐにやるべき対策とするのか判断するのは容易ではない。

優先度を決める考え方として、「緊急度」と「重要度」の関係性から導くことを推奨する。それぞれの要件について、緊急度と重要度を1〜10点で評点するのだ。その和が大きなものを優先度が高いと位置付けるのだ。

※インフォフラッグで提供するサービス【PIT-Sec.】のIT投資優先度マップのサンプル

現状把握によって定量化されたものから評点をすることが望ましいのだが、全ての要件について詳細調査する時間がとれないようであれば、感覚的なものでもかまわない。

これは日常的に発生していることだから緊急性は高いな…もし、ここで問題があると社会的に責任を追求されるので重要な要件だ…

など、一通り評点した後で相対的にバランスを取りながら再評点してみることで現実を反映した優先度が導き出せるかと考える。

無料ソフト使うなら注意すべきこと3つ

とりあえずやってみるなら、無料ソフトを使ってみようか…と、考える方もいらっしゃるであろう。現状把握をして、これはやらないといけないと見えているものの、コスト的にちょっと…となれば、お試し感覚で無料ソフトを利用することは愚策とは言えない。

その場合、注意すべきことがある。

その①:常に情報収集と状況を確認する

バージョンアップ情報も含め、常に情報収集を能動的にする必要がある。案内が送られてくる場合もあるが、ソフトウェアメーカのような手厚いものは期待できない。大手ソフトベンダーに買収されてしまったり、アップデートができないような状態になると今後の利用については考えなければならない。

また、誰が開発しているのかも重要なポイントだ。利用者から評価が得られて事実上のスタンダードになっているようなものなら安心できる。ウイルス対策ソフトのように複数の無料ソフトがあると選択肢もあり評価についても情報が得られるので判断はしやすい。

利用者が少なく、評価レビュー情報も少ない、バージョンアップもそれほどされてないようなものなら利用は控えた方が懸命であろう。

その②:目的を絞って多くを望まない

サポート体制があって提供されているものではないため、長く使うことを想定せず(結果として長く利用できたらラッキーくらいの感覚で)に、目的を絞って、それを実現するための機能がしっかり実装されているかどうかを選定のポイントにすると良い。あれも、これもあって便利そう…という観点ではなく、これをするためにはこのソフトを使う。という割り切りもあった方がいいだろう。

その③:知見ある人に助言を求める

最後に持ってきたが、これをまずやっていただきたいことである。ネット上のコメントや情報だけでは見えないものもある。IT業界関係者に知人がいるなら、このソフトってどう思いますか?と、聞いてみるのがいい。

ただ、ソフトやサービスを販売する立場にない人がいい。セカンドオピニオン的な立場で助言してくれる人の情報は信頼性が高い。

ITアドバイザー【セカンドオピニオン】を活用する!
中小企業の経営者が適切なIT投資が決断できるように、ITアドバイザーという存在が重要であることを解説させていただく。知らない...分からない...状態を解消して、ITベンダーのススメられるままに製品・サービスを導入するという現実を打破するためにITアドバイザーが経営者に安心を与えることができる。どういう人があなたのITアドバイザーとして適切なのかその選定視点についても解説する。
blog.info-flag.com
2024.07.15

GPS理論を理解いただいたら、今すぐにやるべきことに迷いも不安もなくなったのではなかろうか。まずは自社の立ち位置…【現状把握】から始めることだ。ここを抑えておけば道に迷うことはない。

最後までおつきいただきありがとうございます。

また、会いましょ。