認証制度を活用したセキュリティ対策再チェック

セキュリティの運用負担を下げるサービスの利用認証制度を活用したセキュリティ対策再チェック

ITコストの多くを占める運用コストだが、特にセキュリティの負担は数字以上に重いとされる。セキュリティ対策をサービス形態で利用する意向が強まり、これに対応しようとするプロバイダー側の取り組みはどのようなものか――。

» 2010年11月22日 08時00分 公開
[國谷武史,ITmedia]

 企業のITコストの7〜8割をシステムの運用管理が占めると言われる。そのうち情報セキュリティ関連は数%程度とされるが、管理者にとってはこの数字以上に負担を感じるのが実態ではないだろうか。

 ISMSやPマーク、PCI DSSなどのセキュリティ基準は、理想的なセキュリティ対策のフレームワークを導入することで、対策の効果を高めつつ、運用の負担軽減を図るのが目的とされる。だが前回の記事でも触れたように、一部の企業や組織では準拠に必要な作業に追われ、運用後の体制が不十分と指摘されるケースが見受けられる。準拠してもその後に運用が形骸化してしまい、情報流出事故を起こした企業もある。

 そこで、近年注目が高まりつつあるのがセキュリティ対策をサービスとして利用するという方法だ。クラウドコンピューティングの普及もあり、外部のサービスでセキュリティ対策を実現することで、運用面での人的な負担やコストの軽減を図るものである。サービスプロバイダー各社も企業ユーザーのニーズに対応しようとメニューの拡充などを進めている。

セキュリティ対策の委託

 Webホスティングサービスを主力とするKDDIウェブコミュニケーションズは、今年9月に「カスタマイズエンジン」というroot権限を付与する形のサーバホスティングサービスを開始した。開発環境やITインフラを所有せずに自前で構築したいというニーズに対応するものだが、営業推進部の佐竹恭輔氏によれば、顧客企業の半数が既にこのサービスを利用し、その多くがセキュリティ対策の運用を同社に委託しているという。

 新サービスには、セキュリティ関連のオプションとしてファイアウォールやセキュリティアップデート、マルウェア検出、不正侵入監視/防御、バックアップなどのメニューがある。これらは運用・保守を同社が担当する従来のサービスでも提供しているが、「所有以外はなるべく自前でしたい」とする新サービスにおいても、セキュリティ対策の運用はプロバイダーに委ねるユーザーが多いようだ。

 その対応について、例えば各種のセキュリティ基準に準拠したサービスを顧客が希望する場合、同社では要件書やチェックシートなどを基に必要なメニューの組み合わせなどを提示して、柔軟な対応を行っているという。

 OSのセキュリティパッチを適用する場合では、原則として同社の規定に基づいて実施するが、作業スケジュールや内容について顧客と確認をしながら実施している。メールや電話による24時間対応も特徴であるとしている。

コストとセキュリティレベル

 セキュリティも手掛けるとうたうサービスプロバイダーの中には、実際には料金相応のサービス内容しか提供しないところがある。利用の手間が少なく、料金も安価な事業者を選択したところ、期待したレベルのサービスではなかったという経験を持つユーザーは少なくない。

 セキュリティサービスの利用では、コスト効果ばかりを優先すると、ユーザー自身で行うよりも低いセキュリティレベルしか実現できない恐れがある。その結果として事故やトラブルが起きれば、トータルのコストが莫大な規模に膨れ上がり、深刻な被害に直面するリスクが高まる。

営業推進部の佐竹恭輔氏(左)とプラットフォームシステム部の阿部洋介氏

 プラットフォームシステム部 マネジャーの阿部洋介氏は、「実際に担当してみると分かるが、セキュリティ対策をPDCAサイクルで回していく運用は非常に負担がかかる。これまで培った経験やノウハウに自信がある」と話す。同社を含めてサービスプロバイダーには、顧客のシステム運用を手掛けたノウハウがあり、特にセキュリティ対策はその手腕が最も問われる部分だ。

 阿部氏のようにサービス提供の現場を担当するエンジニアの声を聴くことができれば理想的だが、セキュリティサービスを選ぶ際は、できるだけサービスプロバイダーの実力を分析し、投資規模とセキュリティレベルのバランスを保つことができる仕組みにすることが重要になる。

 セキュリティサービスの出現により、セキュリティ基準が目的とするようなセキュリティ対策の運用を最適化する手段は広まっている。セキュリティ対策を改めて検討することは、コストと効果、人的な負荷のバランスのとれたセキュリティ環境を実現するチャンスになるだろう。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.