業務における生産性向上が叫ばれる時代、企業におけるIT化推進の機運が高まっています。競争力獲得に偏重した結果、年々高まるサイバーセキュリティへの対策がおざなりになっている企業も少なくありません。しかし、たった一度のセキュリティインシデントが企業の存続をも脅かす可能性も否定できません。とはいえ、セキュリティ人材の不足をはじめ、企業におけるセキュリティ対策のハードルが上がっているのも事実です。こうした状況に企業はどう向きあうべきか。本記事では、アウトソーシングも視野に入れた取り組みについて解説します。

デジタル化社会におけるサイバー攻撃の脅威

ITの急速な進化・浸透を受け、企業側にも対応するための投資が求められるようになっています。大企業では投資の対象が、ERPやSCMといった基幹システムや業務システムから、AIやIoTといった次世代型テクノロジーへ焦点が変わりつつあります。自社が展開する事業や課題に合わせ、最適なIT化を進めることが業務効率の向上のためにも求められています。RPA(Robotics Process Automation)導入をはじめ、業務の自動化も本格的に浸透しつつあり、「ロボット、AIに仕事が代替されてしまう」という懸念がいよいよ現実味を帯びるようになってきたのです。

IT化に躊躇していた中小企業においても、働き方改革や人手不足の影響でITによる生産性向上を迫られています。従来、中小企業は「こだわり」や「匠の技」を前面に、画一的な商品やサービスを提供する大企業と対称的な方法で競争力を確保することが一般的でした。しかし、中小企業においても働き方改革や採用難などの影響もあり、生産性向上は待ったなしという状況です。また、経済産業省が2017年にスタートした「IT導入補助金」など、国の支援もあり、中小企業にも本格的なIT化にシフトし始める動きが見られるようになってきています。

しかし、このようなIT活用によるデジタル化の動きは、サイバー攻撃を仕掛ける側にとっては好都合な状況といえます。インターネットに接続するコンピューターの数が増加することは、翻すと侵入口の増加といえます。そして、情報のデジタル化が進むということは盗み出すモノが増加するということ。それだけ攻撃対象が増えることに他なりません。攻撃者は、デジタル化した情報資産の価値に目を付け、巧妙化した手口でこれを搾取し、自身の目的を果たします。いまやサイバー攻撃を実行に移すために必要なツールや攻撃手法も、ダークウェブ経由で簡単に入手できる時代です。高度な知識やスキルを有することなく、サイバー攻撃をおこなえるため、攻撃者の数は着実に増加してきているのです。

              

IPAが毎年発表している「情報セキュリティ10大脅威」の2019年度版では、組織向けの脅威として標的型攻撃が首位になりました。企業は、今まで以上にセキュリティ対策と向き合う必要に迫られているのです。

セキュリティ対策の現状

サイバーセキュリティ対策はこれまで主に、情報システム部門が主導し、エンドポイントセキュリティやゲートウェイセキュリティといった既存の枠組みの中で必要最低限のセキュリティ機器やツールの導入にとどめる企業が少なくありませんでした。しかし、デジタルテクノロジーが企業経営の生命線となりつつある中、自社が展開する事業特性や経営戦略にもとづく、適切なセキュリティ対策が求められるようになっています。もはや、情報システム部門が本来の業務の片手間でセキュリティ対策を実行に移していくには限界があり、組織的な対応が求められるようになったといえるでしょう。

そこで、大企業を中心にCISO(Chief Information Security Officer、最高情報セキュリティ責任者)という専任担当を任命し、策定した情報セキュリティポリシーをもとに、経営層も関与するような動きが出てきています。メディアなどが報じる大規模なセキュリティインシデントの発生をきっかけに、急遽CISOを任命するというケースも散見されます。

CISOは、企業の戦略にもとづき、適切なセキュリティ対策を施すとともに、セキュリティインシデントの発生時には適切な指示を出すなどリーダーシップも求められます。CISOの役割は、会社の規模や事業内容によって異なりますが、会社が持続的な成長を果たすうえでは極めて重要なポジションであるといえます。しかし、CISOさえ置いておけば、企業のセキュリティ強度が組織的に高まるわけではありません。CISOを組織の頂点に、さまざまなセキュリティ対策に関する業務をおこなう実行部隊の存在が必要となります。このような流れを受け、組織的なセキュリティ対策の構築のために、以下のような組織が注目されるようになっています。

               

-CSIRT(Computer Security Incident Response Team)

セキュリティインシデントが発生した際に、必要な対策を施すことを目的とした組織のこと。どんなに強固なセキュリティ対策をおこなっても、標的型攻撃を完全に防ぐことは難しいのが実状です。CSIRTは、セキュリティインシデントに対して原因の究明や早期のシステム復旧を果たす役割を担います。日ごろから最新のサイバー攻撃手法やマルウェアの動向、セキュリティ対策技術動向など、必要な情報を収集する役割も担います。



               

-SOC(Security Operation Center)

企業が設置するファイアウォールやIDS(Intrusion Detection System、不正侵入検知システム)は、設定情報にもとづき、許可されていない通信の遮断や、不正な通信に対してアラートを出します。しかし、対策はそれだけでは不十分です。例えば、標的型攻撃は企業への侵入が成功するまで、執拗に繰り返されます。こういった攻撃から防御するためにも、ログを分析し、攻撃の兆候を早期に察知して対策を講じることが求められます。SOCは、セキュリティ機器やネットワーク機器のログを監視してこれを分析したうえで、セキュリティインシデントを未然に防ぐ役割も担います。あらかじめ定めた指標にもとづき、インシデントの評価をおこなうこともあります。

SOCのアウトソーシングという選択肢

前述の通り、SOCはサイバー攻撃の兆候をいち早く察知し、検出や分析、必要なセキュリティ対策へのフィードバックをおこないます。情報セキュリティ上の門番の役割を果たしますが、組織内にSOCを設置するハードルは決して低くないのが実状です。SOCはアプリケーションやネットワーク機器、サーバー機器など複数のログを横断的に監視し、これを分析しなければなりません。膨大なログの中から不正アクセスの兆候を見抜き、適切な処置を施す必要もあります。情報セキュリティに関する高度な知識を求められるといえるでしょう。

            

問題は、このようなセキュリティ人材の確保が難しくなってきているということです。経済産業省が2015年度に実施した調査では、2020年に国内のセキュリティ人材の不足数が19.3万人に達すると予測しています。状況の改善が進んでいない現状を考慮すると、実態としての需給状況はこの数字よりもひっ迫している可能性すらあります。このような状況では、高度なセキュリティ知識と経験が求められるSOCを組織的に運営することは予算が潤沢でなければ現実的ではありません。一方、自社内での人材育成を試みる動きもありますが、教育にかかる費用だけでなく、育成した人材が離職してしまうリスクもあります。要するに、極力コストを抑え、収益を上げようとする企業の意向と相反するため、優先度が下がりやすいのです。

このような状況下で、SOCを組織的に機能させるための解決策のひとつが、SOCのアウトソースです。SOCサービスを提供している企業では、多くの顧客からアウトソースを受け入れることで、セキュリティ強化のためのノウハウや経験を豊富に備え、従業員教育も徹底しています。すなわち、高度なSOCサービスを受けられるということです。大企業だけでなく、情報セキュリティ人材の確保が困難な中小企業において、セキュリティ投資を最適化し情報セキュリティ強度を高めることができるアウトソースは有効な選択肢だといえるでしょう。

            

有効性の高いSOCサービス とは

中小企業のセキュリティ対策において有効な選択肢となるSOCのアウトソースですが、もちろんどのようなサービスでも良いわけではありません。自社において、どのようなセキュリティ機器を導入し、どのような分析が求められるのかなどについて、現状をしっかり把握して、要件を明確にしておく必要があります。アウトソースに依存する部分も、監視だけを対象にするのか、分析やインシデントレポートまで含めるかは、十分に検討する必要があるでしょう。

分析機能についても、ファイアウォールやIDS/IPS(Intrusion Prevention System、不正侵入防止システム)のログを分析するだけでは十分とは言えないため、アプリケーション、ミドルウェア、OS、ハードウェアなど幅広く分析できるサービス選定も考慮するべきです。分析結果を可視化する、レポーティング機能にも気を配りたいところです。月次レポートなどがグラフィカルでわかりやすく、実行に移しやすいことも重要な要素となるでしょう。

            

監視・分析・報告が中心となるSOCですが、改善提案までをサービスに含むSOCサービスもあります。中小企業においては自社が制定するセキュリティポリシーを踏まえ、保有するセキュリティツールの活用方法も含めて検討したいところです。企業の置かれた事業環境により、セキュリティ強度を高めるための対策が異なるのは言うまでもありません。しかし、サービスによっては画一的なメニューとなっていることも少なくありません。サービス提供側の論理ではなく、必要な施策を柔軟に提案、対応してくれるという観点からSOCサービスを検討するのも一つの選択肢でしょう。

            

さいごに

企業活動において、競争力を左右する要素としてITの重要性は高まる一方です。本格的なデジタル化社会の到来が間近に迫る中、サイバー攻撃のリスクも急速に高まっていることを忘れてはなりません。流行に乗るような形で、なし崩し的にITの導入を進めることは、セキュリティ強度を下げて逆に競争力を失わせる要因となりかねません。

            

今後も情報セキュリティ人材の不足は慢性化することが予測されている中、予算の制約もある中小企業にとって、セキュリティ対策の強化はハードルが上がる一方です。自社ですべてを抱えるという前提から一度視点を切り替え、アウトソースも含めて検討してみてはいかがでしょうか。

            

クエストが提供するSOCソリューションでは、お客さまが導入しているUTM(Unified Threat Management、統合脅威管理)と事業環境に合わせて最適なサービスを提案、実行することで、その柔軟な対応が評価されてきました。サイバー攻撃の対策としてUTMを導入したものの、運用体制が確立されていない。あるいは活用の範囲が限定されてしまっているということであれば、以下のページにある導入事例やサービスが役に立つかもしれません。

            

関連導入事例

サービス | セキュリティ 情報通信・メディア
カスタマイズできるアウトソーシング“クエストマネージドセキュリティ 詳しく見る
サービス | セキュリティ 情報通信・メディア
次世代FWを導入しセキュリティを強化。導入後のセキュリティ監視も行い 詳しく見る
導入事例一覧はこちら

関連製品・サービス

事例 | セキュリティ
セキュリティ製品の導入から運用・監視し、改善案作成までワンストッ... 詳しく見る
事例 | セキュリティ
セキュリティ製品の導入から運用・監視し、改善案作成までワンストッ... 詳しく見る