脅威を管理し、己を知る――セキュリティ対策を最適化するIBM流のアプローチ

企業や組織では幾多のセキュリティ対策が講じられているものの、現代の脅威はその隙間を突いて侵入してくる。「わが社は大丈夫？」と不安に感じるセキュリティ担当者が知りたいのは、自社にとっての脅威と対策を最適化していく方法だろう。IBMはグローバルに展開するセキュリティサービスを通じて、企業のセキュリティ向上を強力にサポートしている。

[PR／ITmedia]

PR

セキュリティ脅威の最新事情

　企業や組織ではこれまで幾重ものセキュリティ対策が講じられてきた。特にインターネットが本格的に普及し始めた1990年代以降、脅威の変化に応じてアンチウイルスやファイアウォール、IPS/IDS（不正侵入検知／防御システム）といった様々な対策製品が導入され、その投資規模も累計でみれば相当な金額に上る。

　それにもかかわらずセキュリティ脅威は日々高度化・複雑化を続け、新しい対策を講じなければ、一瞬にしてデータ侵害や情報漏えいなどの被害が発生するかもしれない。「これまでの対策はダメなのか？」「限られた予算ではこれ以上できないかも」といった不安が、常にセキュリティ担当者の頭をよぎる状況である。

IBM マネージドセキュリティサービス ディレクター ジョン・M・ウィラー氏

　「企業や組織では平均70種類以上ものツールや対策が導入されています。しかし、セキュリティの脅威はIT環境全体の脆弱性を突いて侵入してくるのです」――米IBM マネージドセキュリティサービス担当ディレクターのジョン・M・ウィラー氏は、企業や組織を取り巻くセキュリティ動向をこう説明する。

　セキュリティ脅威の現状はどのようなものか。IBM サイバーセキュリティ インテリジェンス チームによる最新の調査結果によれば、従業員1万5000人規模の組織で1週間に捕捉されるセキュリティ事象は平均176万4121件にも達し、そのうち実際のサイバー攻撃は324件あるという。インシデントとして扱われるものは1週間あたり2.1件、2013年に比べて22％増加した。

　また、IBMと米調査機関Ponemon Instituteによる最新の調査報告によると、インシデントなどによって生じるデータ侵害のコストは、データ1件あたり201ドル、全体では585万ドル（約5億8500万円）に上る。データ侵害などの事件が世間に明るみになれば、企業やブランドなどに対する顧客の信頼も大きく失墜してしまうだろう。

　しかし、こうした事件をもたらす脅威は、企業や組織が講じている堅牢なセキュリティ対策を突破して侵入するばかりではないという。上述のIBM サイバーセキュリティ インテリジェンス チームの調査では、実に95％のインシデントがヒューマンエラーによって生じていることも分かった。

　ここでいうヒューマンエラーとは、デバイスの盗難・紛失や重要な情報の不適切な取り扱い、従業員の安易な操作といったものから、パッチ適用やアップデートの不備・不履行、使われていないアカウントの放置やずさんなパスワード管理まで、その多くが企業や組織の内部に起因するものばかりである。

　企業や組織のIT環境が大規模化、複雑化していくと、ヒューマンエラーに代表されるセキュリティ上の脆弱な点も広がっていく。現にモバイル活用など、IPアドレスを持ちインターネットに接続可能なデバイスが企業や組織で広く利用されるようになった。ウィラー氏は、「インターネットに接続されていれば、どんなものでもハッキングされてしまうでしょう」と語っている。

セキュリティを向上させる10のステップ

　上述のように、既に企業や組織では様々なセキュリティ製品が導入され、厳格なポリシーやルールに基づいて運用されている“はず”だ。それでもセキュリティの脅威が侵入してしまうのは、企業や組織が気付かないうちに生じた脆弱な点を突かれてしまうからだろう。既存のセキュリティ対策を見直し、できる限り漏れの無い対策を実現しなければならない。

　セキュリティ対策を最適化していくには、まず客観的な視点から自組織における脅威を理解し、対策の現状を正確に把握する。自組織の抱える脆弱な部分を見出し、セキュリティ対策全体のバランスに配慮しながら、各所における対策の見直し、改善、強化を進め、企業セキュリティのレベルを高めていく。

　このためにIBMは、グローバルに展開するセキュリティサービスを通じて、企業や組織でのセキュリティ対策の最適化を支援している。

　ウィラー氏によると、IBMはセキュリティ分野において「インテリジェンス」「イノベーション」「インテグレーション」「インテグリティ」の“4つの価値”を企業や組織に提供するという。

　「インテリジェンス」とは、サイバーセキュリティに関する洞察と分析を通じて脅威に先行するための知見だ。この知見をもとに、革新的ながら実効性に優れるセキュリティソフトウェアやサービスを顧客に最適な形で提供する（イノベーション）。さらに、既存のセキュリティ対策との調和を図りながら、個々のセキュリティ課題だけでなくビジネス全体の観点から課題を解決していく（インテグレーション）。こうして実現されるセキュリティ対策は一貫性（インテグリティ）のあるものとして実行していける。

　具体的には以下の図で示される10のステップによって、企業や組織でのセキュリティレベルの向上を図っていく。

企業セキュリティの向上に不可欠な10のステップ

　「自組織におけるセキュリティ対策の成熟度を知ることが重要です。現状を評価し、ライバル企業との違いや所属する業界あるいはグローバル市場の中での立ち位置を客観的に理解します。IBMでは最適化に向けたロートマップを提示し、そこへのアプローチにおいて広範なサービスをエンドツーエンドで提供しています」（ウィラー氏）

　IBMのセキュリティサービスではセキュリティ戦略やリスク管理など全体を司る領域からインフラストラクチャまでのIT環境のほぼ全てを網羅している。その中心となるのが、世界中で発生する脅威をリアルタイムに分析・監視し、セキュリティ対策に必要なサービスを提供する「セキュリティー・オペレーション・センター」（SOC）だ。

IBMではセキュリティの高度な知識やノウハウを生かして企業や組織に求められるセキュリティプログラムの設計、構築、実行をサポートする

企業セキュリティを支えるMSSの価値

　IBMは世界10カ所のSOCを通じて、企業や組織のセキュリティ対策の運用を24時間体制でサポートする「マネージドセキュリティサービス」（MSS）を提供している。SOCでは毎日200億件以上ものセキュリティイベントやログなどを検知・分析しており、IBMのセキュリティ研究機関「X-Force」と連携してセキュリティの脅威から顧客を保護する。

　企業や組織が自前でこうしたセキュリティ対策の運用を全て行うとなれば、膨大な人的・ITリソースが必要になるのは言うまでも無い。仮にリソースを十分に確保できないと、セキュリティレベルを維持することが難しくなる。

　ウィラー氏によると、現在1700社以上がMSSを利用して戦略的なセキュリティ対策を講じている。「MSSに対するニーズは、従来のファイアウォールやIDS/IPSといったネットワークセキュリティ機器の運用監視に加え、コンプライアンスやリスク管理にも広がっています」

　ある企業ではID／アクセス管理やアプリケーション、システムにおけるモニタリング、脆弱性診断などにMSSと組み合わせによって運用の負荷を軽減し、セキュリティ担当者が戦略的な業務に専念できる環境を実現した。上層部に対しても対策状況を正確に報告できるようになり、組織全体のセキュリティレベルを高めることに成功しているとのことだ。

　また、MSSの活用はセキュリティ対策に要するコストの最適化にも貢献するという。その効果はMSSの利用規模によって異なるものの、ウィラーによれば20％から50％のコストの節減が可能であり、IBMのセキュリティサービスを利用することで、大規模な追加投資を伴うことなくセキュリティ対策の最適化を実現していける。

　MSS におけるSOCの役割は、企業や組織における日々のセキュリティ対策の運用から、万一の重大なセキュリティインシデントの発生時における緊急対応に至るまで、実に幅広いものとなった。

　日本IBMでも、国内企業や組織からの多様なセキュリティニーズに対応すべく、2001年に開設した「Tokyo SOC」をこのほどリニューアルした。新たなTokyo SOCではMSSの機能が強化（Managed SIEMやサポートするベンダー製品の拡充）されると同時に、パートナー企業とソリューションを提供していく「セキュリティー・ビジネス・センター」、セキュリティ人材の育成を支援する「セキュリティー人材開発センター」の機能も新たに持つようになった。

リニューアルされたTokyo SOC

　このようにIBMのセキュリティは、長年にわたって蓄積された高度な知見と経験、そして、グローバルなインテリジェンスに基づく広範なサービスを特徴であり、企業や組織におけるセキュリティ対策の最適化に大きく貢献してきた。

　今後もセキュリティの脅威は、ますます複雑で高度なものに変化していくと予想される。セキュリティ対策に不安を感じる企業や組織は、将来の脅威に備えるためにも、ぜひIBMのセキュリティサービスを活用してセキュリティ対策の最適化に取り組んでいただきたい。

おすすめホワイトペーパー

世界各国の情報漏えい、1件当たりのコストはHOWマッチ？

情報漏えいの1件当たりの平均コストは145ドルで、情報漏えいのコストが最も高かったのはドイツと米国で、低かった国はブラジルとインド――情報漏えいのコストに関するグローバルな調査結果から経済的影響を分析する。