Webセキュリティ導入の費用は?

Webセキュリティの重要性は理解していても、費用を考えると導入に踏み切れないと方も多いのではないでしょうか。価格が高い＝性能が優れているという観点もありますが、多くの機能がありながらも適切に利用できないとせっかくのWebセキュリティ対策も無駄になってしまいます。
今回は、難しく思われがちなWebセキュリティ対策の費用について、特に50人規模くらいの中小規模組織向けに「何をすればよいのか」「いくら位費用がかかるのか」について、できるだけわかりやすくご紹介します。

まず最初にお話しておきたいことは「経営者が設定する以上にセキュリティレベルが上がることはない」ということです。
「セキュリティレベルは社員全員で担保する」と言ったところで、経営者が投資をして必要なセキュリティレベルを設定しないことにはどうしようもありません。社員一人ひとりで工夫することを促しても、それは詭弁です。経営者が設定すべきなのはまず「何を守るのか」を明確にすることです。
セキュリティはどれだけコストを掛けたところで残念ながら完璧にはなりません。これは莫大な費用をかけているにもかかわらず、官公庁や大企業から情報漏えい事故がなくならないことからもお分かりかと思います。
セキュリティの専門家は「時間さえかければ、破れないセキュリティ対策はない」と言い切ります。

それなら「情報セキュリティにコストを掛けてもムダ」なのでしょうか？それは違います。
情報セキュリティと言っても、考え方的には物理的なセキュリティと変わりはありません。玄関の扉に鍵をかけることや、ベランダの窓の鍵をかけるのは当たり前です。これに、ハリガネ入りの丈夫なガラスにするのか、鍵を二重にするのか、大事なものは金庫に入れて守るのかといったことを検討されると思いますが、基本的に情報セキュリティにおいても考え方は同じです。

・何を守るために、どこまで費用をかけて対策を取るか
・万が一、セキュリティ事故が起こった時にどう対応するか

この方針決めが重要となります。これをセキュリティポリシーと言います。

経営者がセキュリティ対策を講じるときに、不安に感じることはセキュリティ費用の内訳が理解できないケースです。。費用の詳細を知ることで、企業に合わせた効率の良いセキュリティ対策が実現できます。webセキュリティ対策における費用の詳細について紹介します。

企業が取り組みやすいwebセキュリティ対策の一つに、セキュリティソフトやシステムを導入するという選択肢があります。市販のものでも問題は少ないですが、企業によっては独自の専用ソフトやシステムにするというケースも珍しくありません。そのため専門の企業に外注することが多く、開発費用が大事になります。どこまでを保護するのか、セキュリティポリシーという視点で、トラブル時の特約などを取り決めると、金額の上限が変化します。

Webセキュリティは導入したら終了というものではありません。継続的に費用を計上していく必要があります。インターネット上のシステムは、定期的にアップデートやバージョンアップをするものが多いです。その度にシステムの綻びである脆弱性の心配をしなくてはなりません。企業であれば専門部署や人員を配置することも多く、時には外注するという手もあります。いずれにしてもコストを考えることが必要です。

最近では月額いくらというスタイルで、セキュリティサービスをサービスを受けられることが多いです。契約して簡単な設定をするだけで、コストパフォーマンスに優れています。いままでにはなかった選択肢としては、今後も主要となる可能性が高いです。

「自社には個人情報など重要な情報は保存していない」ご意見もありますが、例えば自宅で例えると、施錠していない状態と同じと考えるとイメージがしやすいかと思います。等が流出することは？
企業活動において、漏洩することによってと困るものは何でしょうか。お金や社員を除くと一番大事なのは「信用」ではないでしょうか。もちろん機密情報も盗まれると困ります。
そう考えると、守るべきものは一般的には以下のものとなります。

・顧客情報
・取引先から預かった機密情報
・自社の機密情報
・自社の看板であるWebサイト

基本的には上記を守ることを考えれば良いと考えられます。

まず、守るべきデータが格納されている場所を考えてみましょう。

・Webサイトのデータベース
・ファイルサーバー
・各PCのハードディスク
・USBメモリ

上記等にデータが保存されているはずです。

では、どうすればデータを守れるのでしょうか？考え方自体は先程と同様に自宅のセキュリティ対策と同じです。

・入口を見張って不審者が入らないようにする
・出口を見張って大事なものを持ち出されないようにする
・家族が非行化したり、弱みを握られて大事なものを持ち出したりしないように気をつける
・大事なものは貸し金庫に預ける
・看板に落書きされないように気をつける

では、これらの対策を情報セキュリティ対策ソリューションに言い換えてみましょう。

・入口対策:ファイアーウォールの利用
・出口対策:データロスプロテクション(DLP)の利用
・非行化防止:ウィルス対策ソフトの利用、セキュリティアップデートの更新
・貸し金庫:データセンターやクラウドサービスの利用
・落書き防止:WAFや改ざん防止ソフトの利用

基本的なWebセキュリティ対策は以上です。もちろんログを記録して、万が一の時に追跡できるようにしておきます。
少し気をつけなければならないのは、ITの世界では入口対策と出口対策は別物になりますので、それぞれに対策が必要なことです。具体的にいうとファイアーウォールは出口を守ってくれません。ただし、入口と出口の両方を守ってくれる便利なソリューションがあります。それがUTM(統合脅威管理)というものです。UTMは特に中小規模のお客様にとっては、費用対効果に優れたソリューションです。
UTMにはハードウェアとして提供しているタイプと、ソフトウェアやクラウドサービスとして提供しているタイプがあります。

それでは、中小規模の組織が最低限検討すべきWebセキュリティ対策にかかる費用を見てみましょう。
セキュリティ対策費用はかなり幅があるため、あくまで参考としてご覧ください。

但し、OSなどのセキュリティアップデートは必ず実施することが必要です。。また、サポートの切れたOSを使い続けるのは非常に危険です。
Windows10標準のウィルス対策ソフトであるWindows Defenderなど無償での対策方法もあります。。
有償のウィルス対策ソフトは単なるウィルスチェック機能に加え、危険なサイトの警告、ネットバンキングのセキュリティ機能など追加の機能が充実しています。

ファイルサーバーがインターネットとつながっていない形で運用するのであれば必須ではありませんがネットに繋がっているからサイバー攻撃を受ける可能性がございません。。
インターネットに繋がっているLANには、家電量販店で購入したハードディスクを直接繋ぐよりも、クラウドストレージのほうがはるかにセキュリティ上堅牢で、バックアップも不要となります。。
Excelなどを使うのであればOffice365も選択肢です。もちろん有償ですが、メールサーバーやクラウドストレージを含むプランもあります。

ハードウェア型や、クラウド型、ソフトウェア型など、価格の幅も含め種類が豊富なソリューションとなります。但し、安価なUTM製品の場合は出口対策の機能がない製品もあるので注意が必要です。。
また「検知されて問題が発覚した時にどうするか」を決めておかないと導入する意味自体がありません。管理することが難しい場合は「マネージドサービス」というものもありますので、ご検討ください。

こちらは組織の看板とも言えるWebサイトのセキュリティです。
必要な対策は大きく2つあり、1つが顧客情報漏洩対策で、もう1つが改ざん防止です。
Webサイト上に、お問い合せフォームや、セミナー申込みなど、顧客情報を入力してもらう機能がある場合は情報漏洩の可能性があります。お問い合わせフォームのページにHTTPSを使っていないケースは、既に攻撃を受けていると思っても過言ではないです。HTTPにセキュリティ機能を追加したHTTPSを必ずお使いください。
改ざん防止については、単純に「企業の看板であるWebサイトを書き換えられることによるブランドの毀損」も問題ですが、それ以上に「Webサイトにウィルスを仕込まれて、来訪者に撒き散らす」事を防ぐ意味があります。
情報漏洩および改ざん防止は以下のいずれかの対策が必要になります。

WordPressなどのCMSを利用している場合は特に気をつけてください。Webサイトへの攻撃は「何のソフトを使っているか」を調べられ、条件に適合するサイトを無差別に攻撃することが多いです。企業規模の大小は関係ありません。人気のCMSは狙われやすく、セキュリティアップデートが出た場合は必ず更新するようにしてください。セキュリティアップデートが出たということは脆弱性が見つかったということであり、アップデートしないサイトは攻撃を受けるリスクが高まります。

脆弱性診断サービスを受けて問題点を洗い出し、結果に併せて問題点を修正します。脆弱性診断の費用は2万円×画面数くらいの費用感と考えてください。それに加えてサイトの修正費用が別途必要になります。

WAFは、脆弱性診断を受けてサイト修正することが費用的に難しいケースの代替え対応手段です。WAFを導入することで、悪意のある攻撃をある程度防ぐことができます。WAFはハードウェア型やクラウド型などがあり、クラウドWAFには月額1万円からと安価なものも存在します。
高価なWAFは限りなく高価ですので、中小規模組織の場合はクラウドWAFがおすすめです。

改ざん防止ソリューションは、正しいサイト構成を記憶させ、変化があった場合に検知するものです。改ざんされた場合、自動的に元の状態に戻すこともできます(設定次第です)。
サイト内にウィルスを仕込まれて、ウィルスを撒き散らしたり、他のサイトを攻撃する踏み台にされたりすることを防ぐソリューションです。
ソフトウェア型と、クラウドサービス型があり、クラウドサービス型はクラウドWAFのオプションサービスになっているものもあります。金額を例で示したものはこちらに該当します。
 
Webサイトのセキュリティは、全てをカバーするには非常に費用がかかるため、例えば、中小規模組織であれば下記のような形でご導入いただくことケースがあります。

・お問い合わせフォームは作らず、メールで飛ばすようにする
・セミナー申し込みサイトなどは、専用のサービスを利用する
・クラウドWAF+改ざん検知サービスを利用する

以前は、メールサーバーやファイルサーバーを自社で保持するケースも多くありました。但し、バックアップやセキュリティ対策のコストを考えると、中小規模の組織はクラウドサービスを利用するべきです。Google Driveなどのクラウドストレージはセキュリティが不安になると思いますが、例えばGmailは広告表示のためにメール内容のスキャンすることを2017年の年末で止めています。有償版のG Suiteに至っては元々スキャンしていません。オンラインストレージについては、管理機能が強固なことを特長にしているBOXなどもありますので、利用規約を確認の上、是非検討してみてください。

現在、中小企業向けに国や都道府県ではIT設備投資に関わる様々な助成金事業が行われています。
今回ご紹介したクラウドサービスﾉ利用や、サイバーセキュリティ対策なども助成金が適用されますので、うまく活用することを検討してください。
以下に助成金の例を紹介します。

・サイバーセキュリティ対策促進助成金
・IT導入補助金(ソフトウェアやクラウドサービス)
・働き方改革助成金(テレワーク対応にかかる費用など)
・時間外労働等改善助成金(テレワーク、ソフトウェアの導入・更新など)

以上がWebセキュリティにかかる費用の目安となります。
価格に非常に幅がありますので、何を守るのか、問題があった時にどうするのかを明確にして対策を取ることが重要です。
そして情報セキュリティ事故の殆どは人間が起こす事故です。業務で使うPCの台帳を作って、セキュリティアップデートファイルの適用状況の把握や、持ち出し管理を行ったり、社員に対して情報セキュリティ教育を定期的に行ったりするなど、日々の運用が何より重要になります。
また、情報セキュリティ対策は、問題が起こることを前提に、被害を最小限に抑える対策を考えることが重要です。

webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/

 
（2018/5/12 執筆、2019/11/11修正・加筆）