セキュリティ人材不足で脅威に十分対応できない どうすればレジリエンスを高められるのか：攻撃の被害を最小化するサイバーレジリエンス 運用が鍵に

サイバー攻撃を完全に防ぐのは難しい。そのため、攻撃の被害が発生しても事業継続を可能にするサイバーレジリエンスが注目を集めている。企業において、セキュリティの知識をもった人材の不足や、インシデント発生時の体制の不十分さなどが大きな課題となる中、サイバーレジリエンスを強化するためにはどうすればよいのだろうか。

[PR／ITmedia]

PR

　ランサムウェアをはじめとしたサイバー攻撃が激化する中、被害を受けたときに事業停止の影響を最小限に抑えて早期に事業を回復させるサイバーレジリエンスの強化が求められている。“レジリエンス経営”がキーワードになりつつある昨今、経営層からレジリエンス向上を迫られるケースもあるだろう。

　だが、サイバーレジリエンスを高めるには幾つか課題があり、製品やソリューションを導入するだけでは実現することが難しい。本稿はサイバーレジリエンスの強化に必要となる力を明らかにし、企業が抱えている課題を解消する方法を紹介する。

サイバーレジリエンスを構成する“4つの力”とは？

日立ソリューションズの松尾 将氏

　「そもそもレジリエンスとは、災害やパンデミックのような“想定外のストレス”があっても被害を最小化して速やかに回復する力を指します。これをサイバーの領域にも適用したのがサイバーレジリエンスです」と語るのは、日立ソリューションズの松尾 将氏（マネージドセキュリティサービスグループ 主任技師）だ。

　サイバーの領域では、ランサムウェアをはじめとした攻撃によるインフラの停止や情報漏えい、サプライチェーンの混乱といった“想定外のストレス”が発生する可能性がある。このときに事業停止からの復旧が遅ければ損失は膨らみ、顧客や取引先からの信頼を失う他、最悪の場合廃業に追い込まれるリスクもある。

　サイバーレジリエンスを実現するために企業が備えるべき点は米国立標準技術研究所（NIST）が公開しているガイドライン「SP800-160 Vol. 2 Rev. 1：Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」（以下、SP800-160 Vol.2）にまとまっている。

　同ガイドラインの中ではサイバーレジリエンスを強化するための4つの力として「予測力」「抵抗力」「回復力」「適応力」を定義している。

日立ソリューションズの金野弘明氏

　「予測力」はそもそもサイバー攻撃に遭わないように準備をすること、「抵抗力」はEPP（Endpoint Protection Platform）／EDR（Endpoint Detection and Response）製品などを活用し、早期の検知を実現してダメージを局所化すること、「回復力」は被害から復旧するための仕組みを持つこと、そして「適応力」は組織改善を中心に再発防止や教育を実施することだ。

　日立ソリューションズの金野弘明氏（マネージドセキュリティサービスグループ ユニットリーダ）は「仮に脅威によりシステムのセキュリティが侵害されても被害を最小化して早期に回復できれば、事業継続性は高まります。ただし、この4つの力のいずれかが不足している場合、被害への準備不足や脅威による被害の再発など事業継続性を維持できないケースも出てきます。やはりこの4つの力をバランスよく伸ばすことがサイバーレジリエンスの強化につながります」と話す。

サイバーレジリエンスを実現するために企業が備えるべき4つの力（提供：日立ソリューションズ）

サイバーレジリエンス実現を阻む壁　解消の鍵は

　だが構成要素が分かってもこれを実現するのは簡単ではない。松尾氏によると、「そもそも自社が目指すべきセキュリティの全体像を描けない」「強化に向けてどのような製品を導入するのが適切か分からない」「運用を担うセキュリティ人材が不足している」という、主に3つの課題があるのだという。

　特にセキュリティ人材の不足が叫ばれる昨今、中小企業はもちろん大企業でも充実したリソースをセキュリティ運用・改善に充てるのは難しい。

　そこで注目されるのがセキュリティ運用を外部に委託するマネージドサービスだ。日立ソリューションズはこうしたニーズに応えて「マネージドセキュリティサービス」を展開している。

　日立ソリューションズのマネージドセキュリティサービスは、いわゆるマネージドサービスでイメージされるような「監視業務」だけでなく、インシデントに対してプロアクティブかつリアクティブに対処して状況に応じた対策を適切なタイミングで提供する。UTM（Unified Threat Management）、EPP／EDR、SIEM（Security Information and Event Management）やSASE（Secure Access Service Edge）など幅広い製品領域の知識を持つエキスパートが運用を支援するため、コストやリソースのバランスを考慮して自社に適した形で製品を運用できる。

日立ソリューションズの猪股健一氏

　マネージドセキュリティサービスを束ねる猪股健一氏（マネージドセキュリティサービス部 部長）は「当社は多くの製品について豊富な知見やシステムインテグレーションのスキルを持っています。これらの知識を持ったセキュリティエキスパートたちがインシデント監視から対応、製品導入・運用、リスク軽減に向けた設定変更提案まで、セキュリティ運用をワンストップで支援します」と語る。

　「セキュリティ製品全般に言えることですが、製品の導入当初は適切な設定がされており、その時点では脅威を検知できているかもしれません。しかし脅威は進化し続けており、それに合わせて運用も都度、最適化する必要があります。リソースがあれば自分たちで対応できますが、知見がないと設定を強化するのは難しいでしょう。マネージドセキュリティサービスはセキュリティ製品を使いこなすための支援を提供することでこうした課題を解消し、企業のサイバーレジリエンス強化に寄与します」（金野氏）

マネージドセキュリティサービスの概要。インシデント監視や初動対応、製品運用支援に加え、アセスメントレポートも提供している。有償オプションではセキュリティ人材育成や脆弱性診断なども取り扱っている（提供：日立ソリューションズ）

　この他、セキュリティの全体像を描くところから支援するコンサルティングサービスや自社におけるサイバーレジリエンスの進捗（しんちょく）をレーダーチャートで可視化する「サイバーレジリエンス現状分析サービス」といったマネージドセキュリティサービス以外のサービスも組み合わせることで、企業に適したセキュリティの設計から導入・運用、インシデント発生時の復旧までワンストップで支援してもらうことが可能だ。

　猪股氏は「これまでセキュリティ対策に取り組んできた結果として、抵抗力の強化が比較的進んでいる企業が多いように思います。サイバーレジリエンスに欠かせない”4つの力”をバランスよく強化するには、自社のセキュリティ対策状況を可視化して、足りない”力”を強化するためにどのような課題があって、何を改善すればいいのかをまず明らかにすることが重要です」と述べる。

サイバーレジリエンス現状分析サービスの概要。自社の進捗度をレーダーチャートで可視化できる（提供：日立ソリューションズ）

　「『サイバーレジリエンスに手を付けたいと思っているが何から始めればいいか分からない』と悩んでいる方は、まずは現状分析から始めてほしいと思います。課題を認識していない状況であっても、このように可視化すれば、何から始めるべきかの優先順位を付けられるはずです」（猪股氏）

　セキュリティ対策に投資するからには何かしらの理由が必要だ。サイバーレジリエンス現状分析サービスは自社のセキュリティの現状を経営層に分かりやすく伝える“共通言語”としての役割も期待できる。

今までのセキュリティ投資はムダではない　高度な知見を活用してより効果的な運用を

　セキュリティは「積み上げ式」で考えねばならない。セキュリティ脅威は日に日に大きくなっているが「これまでのセキュリティ投資が間違っていたわけではない」と金野氏は述べる。マネージドセキュリティサービスはこれまでのセキュリティ機能を適切に“アップデート”し、高度な知見による効果的な運用を加えることで“活用”できるのだ。このサービスをきっかけに、組織の中だけでは見えていなかった課題が明らかになったという声も多く上がっている。

　「最新のセキュリティトレンドに合わせた検知ルールのアップデートや追加などを目的にマネージドセキュリティサービスを導入している金融・公共機関もあります。導入当時と今のセキュリティ環境の変化を加味し、専門家の知見によって現状に適した製品／ソリューションのアップデートを実施しました」（金野氏）

　レジリエンス経営を目指して事業継続の観点でセキュリティ対策を強化していく上で課題となるのが、セキュリティ人材の確保だ。日本におけるセキュリティ人材の充足度は低いとされているが、ここには「セキュリティ対策をアウトソースまで含めて考えているか」という視点が抜けているのではないかと猪股氏は指摘する。

　「高度化・巧妙化するサイバー攻撃に対して求められる企業側の対応は拡大し続けています。しかし現実の脅威の前では、自分たちだけで対策し切るのは困難な場合もあるでしょう。われわれプロフェッショナルはそのためにいます。日立ソリューションズの知見を活用してください」（猪股氏）