パナソニックEWネットワークス > Solutions > コラム一覧 > サイバーセキュリティ会社のおすすめは?選び方や将来性や費用を解説
ここから本文です。
サイバーセキュリティ会社のおすすめは?選び方や将来性や費用を解説
スイッチングハブをはじめとしたネットワークシステム、入退室管理システム、カメラシステム構築に関するお問い合わせはこちら
サイバーセキュリティ会社の選び方のポイント
サイバーセキュリティ会社を選ぶ際は、以下のポイントをチェックしましょう。
- 情報セキュリティサービス基準適合サービスリストに載っているか
- 急な依頼、依頼までの対応の速さ
- サービス実績は豊富か
情報セキュリティサービス基準適合サービスリストとは、経済産業省の情報セキュリティサービス基準をクリアし、IPAがまとめたサービスのリストです。
掲載されている企業は高い専門性を有することが証明されており、サイバーセキュリティに詳しくない人でも会社を選ぶ基準になります。
サイバーセキュリティの脅威は常に存在しますから、依頼したらすぐに対応してくれる会社を選ぶこともポイントです。
最後にセキュリティサービスの導入実績、多様な事例経験のある会社を選べば、ニーズに合わせて対策を行ってくれることが期待できます。
サイバーセキュリティは会社選びが重要ですから、3つのポイントで比較して依頼する会社を選択しましょう。
そもそもサイバーセキュリティとは?
そもそもサイバーセキュリティとは何を意味するのでしょうか。
サイバーセキュリティはネットワークに接続した端末上で、Webサイトやサーバへの不正アクセスや悪意を持った攻撃を防ぎ、情報の流出や不正取得、改ざんを防止するための対策です。
サイバーセキュリティがあることで、企業や個人の情報・システムが破壊、窃盗されることを防止できます。
しかしサイバー攻撃による被害は世界的にも増加しており、国内においても2022年の被害総額は1,000億円以上と推定されています。
近年は金銭と引き換えにウイルス感染から回復させるランサムウェア攻撃が増えており、年々被害は拡大中です。
多様化・巧妙化するサイバー攻撃へと対応するためにも、サイバーセキュリティによるネットワークとシステムの保護は企業にとって重要な課題です。
サイバーセキュリティ会社とは?
サイバーセキュリティ会社とは、サイバー攻撃を防止または被害を最小化するために、システム開発やセキュリティ強化、システムの運用・保守を行う企業です。
サイバーセキュリティ会社にはさまざまな分野があり、サイバーセキュリティ全般に対応する企業、サイバー攻撃への保険、IoT機器のセキュリティ強化などの専門性があります。
また、会社内では主に5つの職種がセキュリティの対応を行います。
- システム管理
- セキュリティエンジニア
- サイバーフォレンジック・アナリスト
- インシデントレスポンダー
- ペネトレーションテスター
システム管理は名前の通り、システム管理やトラブル対策全般に対応する職種です。
セキュリティエンジニアは、サイバー攻撃に対応するプログラミングやシステム開発を行います。
サイバーフォレンジック・アナリストは、サイバーアタック、不正アクセスの履歴確認、データの収集・分析、情報開示手続きなどを行う職種です。
インシデントレスポンダーはインシデントレポートの調査・分析、対応を行います。
ペネトレーションテスターは、さまざまな状況を想定したサイバー攻撃をシミュレーションし、セキュリティ対策の強度をテストする仕事です。
サイバーセキュリティ会社はセキュリティ対策の設計・構築を行うだけでなく、テスト・保守・運用まで行います。
サイバーセキュリティ診断におけるよくある課題
サイバーセキュリティ対策の中でも「脆弱性診断」は、診断の回数や対象となる項目も増加し、労働集約的な業務になりつつあります。
さらに脆弱性診断に掛かるコストを抑えながら、高品質なセキュリティを確保しなければなりません。
最もコストがかかるのが人材ですが、セキュリティ対策への人材が不足し、自社での診断実施に切り替え内製化せざるを得ない状況に陥っています。
サイバーセキュリティサービス選定における7つの重要な観点~QCDの考え方に沿って解説~
サイバーセキュリティサービスの選定では、QCDの考え方に沿った観点に注目すると7つの重要な観点に絞ることができます。
QCDとは、Quality(品質)、Cost(費用)、Delivery(納期)の3つです。
1. 安全性 Quality(品質)
2. 網羅性 Quality(品質)
3. 専門性 Quality(品質)
4. 生産性 Cost(費用)
5. 透明性 Cost(費用)
6. 柔軟性 Delivery(納期)
7. 即時性 Delivery(納期)
脆弱性診断サービス導入に際し、QCDによる7つの観点から、各リスクや各リスクに対する対策について網羅的な検討が可能となり、自社へのサイバーセキュリティサービス導入にも役立てることができます。
1. 安全性
大規模な変更のない同一システムの定期診断で、診断基準の変更がないのに、新たな脆弱性の発見や、報告内容が毎回異なるようなケースです。
この場合は、診断漏れの可能性があります。
観点表を再度整備し、特定の診断スタッフに依存するような属人的な診断にならないようにシステム化し、毎回同じ観点での安定した診断ができるベンダーを選びましょう。
また診断対象のシステム構成が変化しても、同一の観点に基づき漏れなく診断できるかどうかもポイントです。
- 同じシステム上で2回以上診断を実施し結果がほぼ同じ
- 診断担当者変更後でも診断観点や報告内容がほぼ同じ
- 業種やシステム構成が違う場合でも診断観点や報告内容がほぼ同じ
2. 網羅性
サイトクローリングによる診断対象の網羅的な洗い出しが実施されない、診断観点や診断項目等を確認できる情報が提示されないといった場合は、目的や期待にそぐわない診断が出ます。
また、ASVSやOWASP等の信頼性の高い外部の国際基準に適合していなければなりません。
適応していれば診断すべき重要な観点が網羅され、診断を実施したレベルの客観的な根拠(エビデンス)が提示できます。
見積時や診断前に、利用画面や機能全体のクローリングをもう一度実施し、診断対象が網羅的に抽出されていることを確認してください。
- 診断対象を網羅的に洗い出せている
- 診断の範囲・深さを提示資料(テスト仕様書等)から確認可能
- ASVSやOWASP TOP 10等の国際基準に適応
3. 専門性
システムの用途や業界が異なると、診断基準や観点も同様に異なります。
各社の特性に合わせた項目がないと、要求された診断レベルを満たせません。
診断企業のプラットフォームに対応できず、サービスごとにベンダーが分割されていると、手続きや管理が煩雑になります。
診断基準や報告内容にも違いが生じ、脆弱性対応の工数も増加します。
特定のホワイトハッカーだけが持つ経験や知見への偏りを防ぎ、各システムや各業界の特性を正確に網羅した診断項目を実施しているのかどうかを確認してください。
脆弱性診断を一括して任せられ、複数のプラットフォームにも対応し、幅広い診断サービスを用意できているのかどうかがポイントです。
- システム特性や業界特性を考慮した診断が可能
- 複数のホワイトハッカーが偏りのない診断を行なう
- 各プラットフォーム対応の豊富な診断サービスの有無
4. 生産性
実際の診断前には、綿密な情報連携を行います。
診断開始後の確認・対応に想定外の時間や工数がかかると、診断スケジュールやプロジェクト全体が遅延します。
限られた予算下では、画面や機能を制限して診断を実施するため、当初の診断規模や費用の根拠が不明確になりやすいといえます。
ヒアリングシートを使い、診断に必要な情報と期間の確認、計画通りに行う体制の有無を確認しましょう。
想定外の作業工数や手数料が追加されることもありますのでご注意ください。
- 計画通りに診断が実行できる体制
- 診断規模に見合う費用額
- 診断工程の無駄の確認
5. 透明性
ベンダーから適切な観点や項目が提示されないと、目的に応じた診断の実施が確認できません。
「診断箇所の漏れ」「特定箇所の診断がない」といった、相手先が期待するレベルとのギャップが生じます。
診断結果や対策方法がわかりにくい場合、対象の開発担当者へも適切なフィードバックができませんし、修正にも余計な工数がかかります。
テスト仕様書や診断実施ケース一覧等を入手し、どの範囲をどこまで診断すべきかをきちんと把握してください。
診断した項目では、問題のない箇所(OK)の確認ができ、次回診断時は除外しての診断が可能です。
報告書には誰もがわかる具体的な説明が記載され、診断結果や対策方法に加えて、実施にまで触れていれば問題ありません。
- 診断する観点や項目が明確に提示されている
- 診断結果のOK(またはNG)部分がはっきりしている
- 報告書内で診断結果への対策も提案されている
6. 柔軟性
自社のネットワーク環境が外部から接続不可能な場合、オンサイトや常駐での診断を行います。
ところが、対応しないベンダーもあります。
例えば開発環境での診断のみが対象のプランや、予算枠内でできるプランがないといった、制限増によるリスク残存や、診断自体が不可能といった残念なベンダーもあります。
脆弱性診断の目的は、本番環境(影響が懸念されるケースでは同等のステージング環境)でのセキュリティリスクや脆弱性を発見し対策することです。
オンサイトや常駐での診断実施が必要な時にも柔軟に対応でき、限られた予算下では、優先診断範囲を調整できることを確認してください。
- オンサイトに対応し常駐診断が可能
- 開発環境や本番環境に対応したサービスを提供
- 予算内で最適な診断の提案を行なう
7. 即時性
QCDでは、即時性もたいへん重要です。
診断の即時実施が必要でも、診断ベンダーのリソースが空いていないと、指定の時期に診断が実施できません。
診断完了後の報告が遅いと、システム改修も遅れます。
仮にサービスリリース前の診断実施で対策が遅れると「インシデントリスク」を抱えてリリースすることになります。
こうしたリスクに対応するには、ベンダーのリソースやスケジュールを確保するように、依頼時期を事前確認してください。
脆弱性に迅速に対応するには、診断実施から報告書納品までのリードタイムができる限り短いことが重要です。
例えば、簡易進捗報告を日次で行い、重大な脆弱性発見時はリスク個所を優先的に報告し、スピーディに対応するベンダーもあります。
- 希望のスケジュールに合わせたリソースの確保
- いつでも診断できる即時性
- 診断後の報告書が納品が早い
サイバーセキュリティ会社の課題と将来性
サイバーセキュリティ会社が抱える課題と将来性についてご紹介します。
課題
サイバーセキュリティ会社が直面している課題は、セキュリティに詳しい人材の不足、クライアント企業のセキュリティへの認識の甘さです。
日本においてはIT人材の不足は深刻で、サイバーセキュリティ分野も技術の進歩に対応できる人材が不足している企業が多いです。
専門性の高い人材は育成に膨大な時間がかかるため、ゼロから育成するのも現実的に厳しいことも影響しています。
また、サイバーセキュリティ会社へ依頼する企業や経営層のセキュリティ認識が甘く、サーバーセキュリティ担当者に任せきりになっている点も問題です。
セキュリティ会社も人材不足の状況にあるため、全面的に任せるのではなく、自社で専門家を育てなければ迅速な対応は困難です。
しかし認識の甘さからセキュリティ対策をコストと考えてしまい、人材の育成を行っている企業はほとんどないのが現状です。
2つの課題がセキュリティ会社にとって大きな問題となっています。
将来性
サイバーセキュリティ会社の将来性には、非常に期待が持てます。
サイバー攻撃による被害事例の増加により、サイバーセキュリティ対策への意識も高まりつつあるからです。
企業のDXやICT化が進むにつれ、クラウドサービスを利用する企業も増加しています。
ネットワークを経由したシステムを利用する性質上、サイバー攻撃の頻度や不正アクセスの危険性は高まります。
そのため、今後もサイバー攻撃への備えとして、サイバーセキュリティ会社の需要は高く、将来性も高いといえるでしょう。
サイバーセキュリティ会社の費用相場
サイバーセキュリティ会社の費用相場は、企業の規模や対策、サービスの範囲によって大きく異なります。
サイバーセキュリティを一から設計・開発した場合、大規模な企業では1,000万円以上かかることもあります。
一方、中小企業のサイバーセキュリティを行う場合は、年間50~100万円程度が費用相場です。
ただし企業で使用する端末台数やオプションによっても金額は変動するため、いくつかのサイバーセキュリティ会社で見積もりをもらい、費用を比較することをおすすめします。
サイバーセキュリティ会社に依頼する前に確認すべきこと
サイバーセキュリティ会社に依頼する前に、確認すべきことを3点ご紹介します。
社内ネットワーク構築範囲の検討
サイバーセキュリティ会社に依頼する前に、社内ネットワークをどこまで構築するのか範囲を検討しましょう。
例えば、オフィスの床面積に応じてWi-Fiルータを何台設置するかが変わり、それによってセキュリティ対策も変わります。
またパソコン・スマホ・タブレットなどの端末に加え、OA機器などの台数と通信、拠点間で同じシステムを利用したネットワークを構築するかどうかも重要です。
有線LANを使用するならセキュリティ性は高い反面、ネットワークインフラのレイアウトも検討しなければなりません。
社内ネットワークの要素ひとつひとつを検討し、依頼前に構築範囲を決めておきましょう。
構築に必要な予算・費用の計算
社内ネットワークを構築するには、企業の規模や構築範囲によって費用が変動します。
サイバーセキュリティ会社に依頼する際は、費用の内訳として設計費・配線工事費・端末機器購入費・ネットワーク設定費などの予算を計算しましょう。
サイバーセキュリティ対策は高度になるほど費用も高額になるため、どの程度の予算で依頼するのかあらかじめ検討することが重要です。
予算が決まったら、サイバーセキュリティ会社に依頼する際に伝えておけば、費用に応じたプランを提案してもらえます。
複数の会社に見積もりを依頼し、自社のニーズに合ったセキュリティを選択することがポイントです。
依頼から導入までの期間
サイバーセキュリティ会社に依頼する場合、依頼してから実際に導入されるまでにどのくらいの期間が必要になるかも確認しましょう。
依頼後すぐに動いてくれる会社が理想ですが、状況次第ですぐに動くことが難しいケースもあります。
どのくらいの期間でサイバーセキュリティ対策を完了したいのか、ある程度の余裕を持たせて考えることが重要です。
一般的にサイバーセキュリティ会社のフォレンジック調査には1~2週間、セキュリティ対策を完了するまでには3カ月程度が必要になります。
企業によっても期間は多少前後するため、必要期間を踏まえて依頼を行いましょう。
サイバーセキュリティのことならパナソニックEWネットワークス
企業のネットワークを狙うサイバー攻撃により、毎年多くの被害事例が発生しています。
企業情報を悪意ある第三者から保護するには、最新のセキュリティ対策と脆弱性への配慮が必要です。
パナソニックEWネットワークスは、ランサムウェア攻撃へのセキュリティ、アンチウイルス、次世代型ファイアウォールなど最新のサイバーセキュリティを用意しています。
高速大容量通信が可能な無線LANシステム構築とあわせて、高度なセキュリティで企業の大事なネットワークと情報を保護します。
ゼロからサイバーセキュリティ対策を施したい方だけでなく、自社の対策のアップデートを検討したい方も、パナソニックEWネットワークスにお問い合わせください。
サイバーセキュリティ会社は複数社で比較してニーズに合うものを選ぶべき
サイバーセキュリティ会社の種類や費用相場などを解説しました。
サイバー攻撃による被害が増加傾向にある中で、自社のネットワークと機密情報を守るには、自社に合ったサイバーセキュリティ会社選びが重要です。
依頼する会社によって得意分野やノウハウ、実績も大きく違うため、事前に社内でニーズを確認しておく必要があります。
依頼する条件を事前に決め、複数の会社からニーズに応えてくれるところを選びましょう。
その際は、豊富な実績を持つパナソニックEWネットワークスにご相談ください。