セキュリティ予算が増えたのに、なぜか現場は楽にならない。
むしろ「ツールは増えたのに、アラート対応が地獄になった」という声が出る。

原因はだいたい一つで、予算を“買い物”として使ってしまい、「どこに効かせるか(配分設計)」をしていないからです。

今日のテーマは、自治体・金融・民間を問わず効く「防御(Prevent)と検知(Detect)のバランス」です。

目次 [ close ]
  1. 事故はゼロにならない前提に立つ
  2. よくある“防御偏重”の失敗
  3. 配分の基本:先に“IDと可視化”、次に“高度化”
  4. 入口(ID):まず“入れない”を固める
  5. 見える化(Detectの土台):次に“気づける”を作る
  6. 高度化:最後に“効率化・自動化”へ
  7. 予算会議で使える“3つの箱”フレーム
  8. 今週やること(現場向け)+参考資料
  9. 問いかけ
  10. 参考資料(リンク)

事故はゼロにならない前提に立つ

まず前提を揃えます。

どれだけ WAF を入れても、EDR を入れても、設定ミス・誤送信・アカウント乗っ取り・委託先経由など、抜け道は残ります。
だから「侵入されないようにする」だけではなく、「侵入されたとしても早く気づいて小さく止める」設計が必要になります。

ここを腹落ちさせると、予算配分の議論が一気に現実的になります。

よくある“防御偏重”の失敗

予算が付くと、多くの組織が最初にやるのは「防ぐためのツール」を買うことです。
もちろん必要ですが、偏るとこうなります。

  • 新しい防御製品を入れたが、ログの見方・ルール設計・アラート運用が整っていない
  • アラートが多すぎて“無視”が常態化する(=実質、検知ゼロ)
  • 事故が起きたとき、誰が・何を見て・どこまで判断してよいかが決まっていない

結果として「防御に金を使ったのに、事故対応は属人化したまま」になります。

配分の基本:先に“IDと可視化”、次に“高度化”

前回(金曜)に書いた「段階的に固める」考え方と同じで、予算も順番が重要です。
おすすめの考え方は「まず“入口”と“見える化”を固める → 次に高度化」です。

入口(ID):まず“入れない”を固める

  • MFA の徹底(特にメール、VPN、管理画面、クラウド)
  • 特権IDの棚卸し(誰が管理者か、何ができるか)
  • 退職者・異動者アカウントの即時無効化(ここが抜けると全部崩れる)

見える化(Detectの土台):次に“気づける”を作る

  • ログ収集の統一(バラバラに溜めない)
  • アラートの優先順位付け(重要度、一次対応のゴール)
  • 対応フローの整備(一次→二次→経営報告の線を決める)

高度化:最後に“効率化・自動化”へ

  • EDR のチューニング(検知精度を上げ、誤検知を潰す)
  • SIEM の相関分析(「単発」ではなく「兆候の連鎖」を見る)
  • SOAR で自動化(ただし運用が固まってから)

順番を逆にして SIEM/SOAR から入れると、だいたい「高いだけの箱」になります。

予算会議で使える“3つの箱”フレーム

経営と話すときは、専門用語を減らして、予算を次の3つに分けると通りやすいです。

  • 入口対策(ID・端末):誰が入れるか、どの端末で入れるかを固める
  • 見張り(検知・ログ):何が起きたら異常かを決め、すぐ気づく
  • 消火(対応・復旧):止血、封じ込め、復旧、報告の手順を整える

ポイントは、「見張り」と「消火」にもちゃんと予算を置くことです。
防御だけ買っても、見張りと消火が弱いと“燃えたら終わり”になります。

実務では、まず今年の費用をこの3箱に“ざっくり仕分け”してみてください。

予算の箱代表的な投資例失敗しやすいパターン
入口(ID・端末)MFA、ID棚卸し、端末管理、特権管理部門ごとに例外だらけで形だけ導入
見張り(検知・ログ)ログ統一、監視ルール、一次対応の整備アラートが多すぎて現場が麻痺
消火(対応・復旧)IR手順、初動チェックリスト、訓練、連絡体制事故時に「誰が決めるか」が未定

シリーズのアイキャッチも、この「入口・見張り・消火」の3箱が視覚化できると統一感が出ます。(see the generated image above)

今週やること(現場向け)+参考資料

今週の宿題は、ツール選定ではなく「配分の現状把握」です。

  • 今年のセキュリティ費用を棚卸しし、「入口・見張り・消火」にざっくり分類する
  • 見張り(検知)の運用が回っているか確認する:アラート件数、一次対応の所要時間、エスカレーション基準
  • 消火(対応)の手順が紙で存在するか確認する:連絡網、権限、初動30分のチェックリスト

この3つが揃ってから、次の製品を買う方が成功率が上がります。

問いかけ

御社のセキュリティ予算は、「防御:検知:対応」で言うと、どんな比率になっていますか?
もし“防御が8割”なら、次の増額は「見張り」と「消火」に寄せるだけで、体感の安全性が一段上がります。

参考資料(リンク)

JPCERT/CC(インシデント対応・注意喚起)
https://www.jpcert.or.jp/

NIST Cybersecurity Framework (CSF) 2.0
https://www.nist.gov/cyberframework

NIST SP 800-61 Rev.2(Computer Security Incident Handling Guide)PDF
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

CIS Critical Security Controls v8
https://www.cisecurity.org/controls/cis-controls-list

MITRE ATT&CK
https://attack.mitre.org/

IPA(情報セキュリティ関連)
https://www.ipa.go.jp/security/