- 🧑 <「今でしょ!」
- セキュリティ監視は導入および運用に相応のコストがかかる
- 組織や事業の状況で対応を変えていく必要がある
セキュリティ監視にかかるコスト
- 100〜1000人規模の組織で粗く見積もった、あくまでイメージ
イニシャルコスト(導入など)
- 人件費
- 内製する場合:12人月〜
- 既製プロダクト・サービスを使う場合:4人月〜
- システム費
ランニングコスト(運用など)
- 人件費
- 内製する場合:1人〜 / 月
- 既製プロダクト・サービスを使う場合:0.4人〜 / 月
- システム費
- 内製:月額 数万〜(年間100万円とか)
- 既製プロダクト・サービス:月額 数十万〜(年間数百〜1000万円)
セキュリティ監視をいつから始めるか
- (セキュリティ監視に限らず)対策をいつから始めるかは事業フェーズや組織規模、扱っている情報資産の価値などから慎重に検討する必要がある
- 現状、他に優先するべき対策はないか
- 施策として企画、実装、展開をするためには必ず人手やシステムが必要
- 直接的な防御的施策のほうが、費用対効果が高い場合が多い
- 事業リスクはセキュリティだけではない(情報セキュリティは重要だが全体から見ると一部)
- セキュリティ監視の運用を始めると運用者の稼働やシステムの利用料が定常的に発生するのに、組織として耐えられる段階か
- 情報資産が(可用性・機密性・完全性)侵害を受けた場合に、組織にとってどの程度のインパクトがあるか?
- リスクに対して「セキュリティ監視」という施策に投資する価値があるか?
- 基本的には経営層やCISOが判断する事柄
- ただし判断に資する情報や温度感は現場から伝えていく必要もある
セキュリティ監視の段階
あくまでイメージを持ってもらうための一例と捉えてください。今日はだいたい Lv2 → Lv3 あたりの話をします。
Lv.1(シード、アーリースタートアップ)