はい!簡潔に答えると「はい」ですが、多くの中小企業の経営者にとってはそう単純ではありません。侵入テストは安価ではありません。経営者は、侵入テストの実施コストとデータ漏洩の潜在的コストを比較検討する必要があります。さらに、侵入テストをIT予算に追加する場合は、そこからどのようなメリットが得られるかを検討する必要があります。特に、侵入テストは一般的に一度きりのテストではないためです。侵入テストは、ネットワーク/セキュリティ/サーバーのアップグレードや変更、大規模な人員増加、拠点の追加など、毎年実施することが推奨されます。
侵入テストが必要かどうかを判断するための質問
データ漏洩を許容できますか?
これは大きな疑問です。侵入テストは初期費用がかかりますが、データ侵害はさらに高額な費用がかかります。しかし、侵入テストは特に中小企業で増加傾向にあります。
データ侵害による損害額は2021年までに6兆ドルに達すると推定されているため、侵入テストの導入を検討するのは賢明です。しかし、中小企業は、侵入テストの初期費用が妥当かどうかを判断するために、最も重要な資産のコスト、それらの資産の喪失による影響、そして事業の損失など組織が直面する可能性のある長期的なコストを把握し、分析する必要があります。
コンプライアンス標準ではペンテストが必須ですか?
ペネトレーションテストは、企業がコンプライアンス要件を満たしていることを確認するためにも役立ちます。PCIデータセキュリティ基準(PCI DSS)、サーベンス・オクスリー法、HIPAA、201 CMR 17.00など、多くの規制では、第三者機関による年次ペネトレーションテストの実施が義務付けられています。これらの業界標準のいずれかに準拠する必要がある場合は、コンプライアンス遵守のためにペネトレーションテストを実施する必要があるかどうかを判断する必要があります。
IT 予算にペンテストのための余裕はありますか?
予算作成時、または年度末に資金の残額を確認することで、これを判断できます。年度末に資金に余裕がある場合は、ペネトレーションテストを実施するのに最適な時期です。当年度の予算を活用できるだけでなく、ペネトレーションテストの結果は、今後の予算編成をより賢明なものにするのに役立ちます。ペネトレーションテストは、組織の最大の弱点領域を明らかにします。これらの弱点は攻撃に対して脆弱であるため、企業はサイバーセキュリティへの予算を増やす必要があります。サイバーセキュリティチームを導くペネトレーションテストがなければ、企業はより広範なセキュリティツールに多額の費用を費やし、ある分野に過剰な投資をしてしまう可能性があります。その資金を他の分野に有効に活用すべきなのに、その分野に過剰な投資をしてしまう可能性があります。
侵入テストを実施する必要があるのはなぜですか?
中小企業にとって侵入テストが適切かどうかを判断するのは、非常に個人的な判断ですが、決して軽視すべきではありません。選択肢を検討し、テストを実施することに決めた場合、テストには多額の費用と時間を投資することになるため、プロバイダーの選択には十分な注意を払うことが重要です。決定を下す前に、複数のサイバーセキュリティ企業に相談し、見積もりと詳細なプランを入手してください。サイバーセキュリティ企業は、最初の打ち合わせでお客様の質問にすべて答え、貴重な情報を提供してくれるはずです。そうすることで、最終レポートに何が期待できるかを正確に把握できます。最も安い選択肢を選ぶのではなく、お客様が求めているものを提供し、適切な方向へ導いてくれる企業を選びましょう。