セキュリティ機器の導入は、
まず環境確認とリスク評価をしてから判断すべきだと思っている。
しかし現場を見ると、この順番が逆になっているケースが少なくない。
営業から機器の提案があり、
「サイバー攻撃が増えている」
「対策が必要だ」
という話の流れで、導入が決まってしまう。
その場ではもっともらしく聞こえる。
だが本来の順番は違う。
目次
先に確認すべきは「環境」である
セキュリティ対策を考えるとき、
最初に見るべきなのは機器ではない。
自分たちの環境だ。
例えば、
- パソコンは何台あるのか
- 社内ネットワークはあるのか
- クラウドを使っているのか
- データはどこに保存されているのか
こうした前提によって、
現実的なリスクは大きく変わる。
同じ「サイバー攻撃」という言葉でも、
環境が違えば意味はまったく違う。
次に行うべきはリスク評価
環境が見えたら、
次に考えるのはリスクだ。
どんな攻撃があり得るのか。
どこが入口になり得るのか。
被害が出た場合、どこまで影響が広がるのか。
ここで初めて、
「どこを守るべきか」
が見えてくる。
そして最後に対策を選ぶ
環境とリスクが整理できて初めて、
具体的な対策を選ぶことになる。
順番はこうだ。
環境確認
→ リスク評価
→ 対策の選定
この順番で考えると、
必要な対策の輪郭が自然に見えてくる。
順番を飛ばすと何が起きるか
この順番を飛ばすと、
セキュリティは簡単に歪む。
オーバーセキュリティになったり、
逆に本当に必要な対策が抜け落ちたりする。
機器を入れたことで安心してしまい、
別のリスクが見落とされることもある。
セキュリティの目的
セキュリティ機器は、
入れることが目的ではない。
リスクに対して、
適切な対策を設計することが目的だ。
だからこそ、
営業の提案から考え始めるのではなく、
自分たちの環境から考える。
この順番を崩さないことが、
結果的に一番安全だと思っている。
あわせて読みたい
この環境に、そのセキュリティ機器は本当に必要だったのか
違和感は、月額8,000円から始まった 個人事業主の方と話していたとき、まったく別の話題から、セキュリティの話になった。 聞けば、月々8,000円のセキュリティ機器を導…
コメント