セキュリティ人材不足に待ったなし、急増するサイバー攻撃への備え

ITの急速な進化･浸透を受け、企業側にも対応するための投資が求められるようになっています。大企業では投資の対象が、ERPやSCMといった基幹システムや業務システムから、AIやIoTといった次世代型テクノロジーへ焦点が変わりつつあります｡自社が展開する事業や課題に合わせ､最適なIT化を進めることが業務効率の向上のためにも求められています。RPA（Robotics Process Automation）導入をはじめ､業務の自動化も本格的に浸透しつつあり、「ロボット､AIに仕事が代替されてしまう」という懸念がいよいよ現実味を帯びるようになってきたのです｡

IT化に躊躇していた中小企業においても、働き方改革や人手不足の影響でITによる生産性向上を迫られています。従来、中小企業は「こだわり」や「匠の技」を前面に、画一的な商品やサービスを提供する大企業と対称的な方法で競争力を確保することが一般的でした。しかし、中小企業においても働き方改革や採用難などの影響もあり、生産性向上は待ったなしという状況です。また、経済産業省が2017年にスタートした「IT導入補助金」など、国の支援もあり、中小企業にも本格的なIT化にシフトし始める動きが見られるようになってきています。

しかし、このようなIT活用によるデジタル化の動きは、サイバー攻撃を仕掛ける側にとっては好都合な状況といえます。インターネットに接続するコンピューターの数が増加することは､翻すと侵入口の増加といえます｡そして､情報のデジタル化が進むということは盗み出すモノが増加するということ｡それだけ攻撃対象が増えることに他なりません。攻撃者は、デジタル化した情報資産の価値に目を付け、巧妙化した手口でこれを搾取し、自身の目的を果たします。いまやサイバー攻撃を実行に移すために必要なツールや攻撃手法も、ダークウェブ経由で簡単に入手できる時代です。高度な知識やスキルを有することなく、サイバー攻撃をおこなえるため､攻撃者の数は着実に増加してきているのです。

IPAが毎年発表している「情報セキュリティ10大脅威」の2019年度版では、組織向けの脅威として標的型攻撃が首位になりました。企業は、今まで以上にセキュリティ対策と向き合う必要に迫られているのです。

サイバーセキュリティ対策はこれまで主に、情報システム部門が主導し、エンドポイントセキュリティやゲートウェイセキュリティといった既存の枠組みの中で必要最低限のセキュリティ機器やツールの導入にとどめる企業が少なくありませんでした｡しかし、デジタルテクノロジーが企業経営の生命線となりつつある中､自社が展開する事業特性や経営戦略にもとづく、適切なセキュリティ対策が求められるようになっています。もはや、情報システム部門が本来の業務の片手間でセキュリティ対策を実行に移していくには限界があり、組織的な対応が求められるようになったといえるでしょう。

そこで、大企業を中心にCISO（Chief Information Security Officer、最高情報セキュリティ責任者）という専任担当を任命し、策定した情報セキュリティポリシーをもとに、経営層も関与するような動きが出てきています。メディアなどが報じる大規模なセキュリティインシデントの発生をきっかけに、急遽CISOを任命するというケースも散見されます。

CISOは、企業の戦略にもとづき、適切なセキュリティ対策を施すとともに、セキュリティインシデントの発生時には適切な指示を出すなどリーダーシップも求められます。CISOの役割は、会社の規模や事業内容によって異なりますが、会社が持続的な成長を果たすうえでは極めて重要なポジションであるといえます。しかし、CISOさえ置いておけば、企業のセキュリティ強度が組織的に高まるわけではありません。CISOを組織の頂点に、さまざまなセキュリティ対策に関する業務をおこなう実行部隊の存在が必要となります。このような流れを受け、組織的なセキュリティ対策の構築のために、以下のような組織が注目されるようになっています。

前述の通り､SOCはサイバー攻撃の兆候をいち早く察知し、検出や分析、必要なセキュリティ対策へのフィードバックをおこないます｡情報セキュリティ上の門番の役割を果たしますが、組織内にSOCを設置するハードルは決して低くないのが実状です。SOCはアプリケーションやネットワーク機器、サーバー機器など複数のログを横断的に監視し、これを分析しなければなりません。膨大なログの中から不正アクセスの兆候を見抜き､適切な処置を施す必要もあります。情報セキュリティに関する高度な知識を求められるといえるでしょう。

問題は、このようなセキュリティ人材の確保が難しくなってきているということです。経済産業省が2015年度に実施した調査では､2020年に国内のセキュリティ人材の不足数が19.3万人に達すると予測しています。状況の改善が進んでいない現状を考慮すると､実態としての需給状況はこの数字よりもひっ迫している可能性すらあります｡このような状況では、高度なセキュリティ知識と経験が求められるSOCを組織的に運営することは予算が潤沢でなければ現実的ではありません。一方、自社内での人材育成を試みる動きもありますが､教育にかかる費用だけでなく､育成した人材が離職してしまうリスクもあります｡要するに、極力コストを抑え、収益を上げようとする企業の意向と相反するため、優先度が下がりやすいのです。

このような状況下で、SOCを組織的に機能させるための解決策のひとつが、SOCのアウトソースです。SOCサービスを提供している企業では、多くの顧客からアウトソースを受け入れることで、セキュリティ強化のためのノウハウや経験を豊富に備え、従業員教育も徹底しています。すなわち､高度なSOCサービスを受けられるということです。大企業だけでなく､情報セキュリティ人材の確保が困難な中小企業において、セキュリティ投資を最適化し情報セキュリティ強度を高めることができるアウトソースは有効な選択肢だといえるでしょう。

中小企業のセキュリティ対策において有効な選択肢となるSOCのアウトソースですが、もちろんどのようなサービスでも良いわけではありません。自社において、どのようなセキュリティ機器を導入し、どのような分析が求められるのかなどについて、現状をしっかり把握して、要件を明確にしておく必要があります。アウトソースに依存する部分も、監視だけを対象にするのか、分析やインシデントレポートまで含めるかは、十分に検討する必要があるでしょう。

分析機能についても、ファイアウォールやIDS／IPS（Intrusion Prevention System、不正侵入防止システム）のログを分析するだけでは十分とは言えないため、アプリケーション、ミドルウェア、OS、ハードウェアなど幅広く分析できるサービス選定も考慮するべきです。分析結果を可視化する、レポーティング機能にも気を配りたいところです。月次レポートなどがグラフィカルでわかりやすく、実行に移しやすいことも重要な要素となるでしょう。

監視・分析・報告が中心となるSOCですが、改善提案までをサービスに含むSOCサービスもあります。中小企業においては自社が制定するセキュリティポリシーを踏まえ､保有するセキュリティツールの活用方法も含めて検討したいところです｡企業の置かれた事業環境により､セキュリティ強度を高めるための対策が異なるのは言うまでもありません｡しかし､サービスによっては画一的なメニューとなっていることも少なくありません｡サービス提供側の論理ではなく､必要な施策を柔軟に提案､対応してくれるという観点からSOCサービスを検討するのも一つの選択肢でしょう｡

企業活動において、競争力を左右する要素としてITの重要性は高まる一方です。本格的なデジタル化社会の到来が間近に迫る中、サイバー攻撃のリスクも急速に高まっていることを忘れてはなりません。流行に乗るような形で､なし崩し的にITの導入を進めることは、セキュリティ強度を下げて逆に競争力を失わせる要因となりかねません。

今後も情報セキュリティ人材の不足は慢性化することが予測されている中、予算の制約もある中小企業にとって、セキュリティ対策の強化はハードルが上がる一方です｡自社ですべてを抱えるという前提から一度視点を切り替え､アウトソースも含めて検討してみてはいかがでしょうか｡

クエストが提供するSOCソリューションでは、お客さまが導入しているUTM（Unified Threat Management、統合脅威管理）と事業環境に合わせて最適なサービスを提案、実行することで､その柔軟な対応が評価されてきました｡サイバー攻撃の対策としてUTMを導入したものの、運用体制が確立されていない｡あるいは活用の範囲が限定されてしまっているということであれば､以下のページにある導入事例やサービスが役に立つかもしれません。