セキュリティ担当者1人の大学と5人のメーカーが対策を効率化した方法：Maker's Voice

複雑なセキュリティ課題を少ない人材で解決しなければならない状況は、多くの企業や組織に当てはまるだろう。その改善に向けた取り組み事例をIntel Securityの幹部が紹介してくれた。

[ITmedia]

　近年は複数のセキュリティベンダーが、サイバー攻撃などの脅威を未然に防ぐだけでなく、防ぎ切れない脅威も迅速な検知と対応によるライフサイクルで被害抑止につなげていく必要性を企業や組織へ呼び掛けている。しかし、多くの企業や組織では幾つものセキュリティ課題を少ない人数で解決しなければならない状況にあり、ベンダーが呼び掛ける対策にどう取り組めばよいのか。

米Intel Security コーポレートプロダクト担当バイスプレジデント兼ゼネラルマネージャーのブライアン・ダイ氏

　「脅威対策ライフサイクル」を打ち出す米Intel Securityのブライアン・ダイ氏（コーポレートプロダクト担当バイスプレジデント兼ゼネラルマネージャー）によれば、防御に注力して仮に99％の脅威を防いだとしても、極めて機密性の高い情報を盗むような可能性を持つ残り1％の脅威を見逃すわけにはいかない。1％の脅威を検知して復旧（脅威に晒されたシステムなどの回復）することに加え、防御策も脅威の変化に対応できるものへ高めていく必要があり、その考え方をライフサイクルモデルで示しているという。

　ただ、そのようなセキュリティ対策の実践に必要な人材を確保できないという悩みを多くの企業や組織が抱える。限られた人数で脅威を防ぐことに加え、自社システムを常にアップデートしていくことや従業員への教育・啓発、ルールやポリシーの整備など、恒常的に取り組むべき課題は山積みだ。

　ダイ氏は、メーカーとして（1）対策製品群のプラットフォーム化、（2）パートナーフォーカス、（3）カスタマイズ可能――のアプローチによって顧客のセキュリティ対策の自動化と効率化を図るようにしているという。プラットフォーム化では複数の対策製品を連携させて防御力を高める。パートナーフォーカスでは顧客が対策の改善にサービス事業者を活用しやすくすることを製品面から支援する。カスタマイズ可能とは、ユーザーが自分たちの環境に応じた対策を講じやすくすることだという。これらによってセキュリティ担当者の少ない企業や組織が、本来取り組むべき作業へ集中できるようにする狙いがある。

　「一例だが、セキュリティを担うのは人間であり、ツールや製品を直観的に操作して脅威への対応作業へ効率的に集中できるようする必要がある。その実現のために開発体制を3倍に強化している」（ダイ氏）

　ユーザーは、ライフサイクルに基づくセキュリティ対策をどのように実現しようとしているのか。ダイ氏はいくつかの事例を挙げてくれた。

　例えば、約1万人の従業員を抱え、セキュリティ担当者が5人という製造業では対策製品をIT部門が運用し、サイバー攻撃などを検知するためのログ分析や検知後の対応などの作業は外部の専門事業者に委託している。5人のセキュリティ担当者が脅威を防御するための日常的な作業に追われないようにして、本来の課題だった機密性の高いデータの保護や漏えい対策に取り組めるようにしたという。

　また、セキュリティ担当者が1人だけという大学では、例えば、学生が利用するシステムがウイルスに感染した場合に、システムイメージ使って一気に復旧させるという。“荒技”にも見える対応方法だが、1人でできる作業は限られるだけに、なるべく簡素な方法にしている。「この大学の課題は『サイバー攻撃などに遭わないだろう』と考える教授の意識改革にあり、担当者はセキュリティシステムの設計やその運用でパートナーのリソースを活用し、自身の作業を教授への啓発や教育に集中させている」（ダイ氏）とのことだ。

　ダイ氏によれば、いずれのケースでもセキュリティ担当者が自身の所属する組織のセキュリティのリスクや課題をまず洗い出し、さまざまな改善方法策を活用しながら、自身の作業を最優先課題へ集中させている。同氏は、そうすることでセキュリティ対策自体を成熟させていけると強調する。

　ライフサイクルで脅威に対応していくセキュリティ対策の考え方は、全く新しいものではなく、人材不足や非効率的な対策の運用といった課題を解決していくため現実的なアプローチだといえる。その結果を数字など客観的に評価することはなかなか難しいが、ダイ氏は「対策効果を分かりやすく示すのはセキュリティ業界全体の課題であり、実現に努めていきた」とも話している。