内製と外注の“黄金比”を見つけ出せ 阿部慎司氏が提言するゼロから始める組織強化のススメ：ITmedia Security Week 2024 夏 イベントレポート（1/2 ページ）

セキュリティ業務をどこまで内製で対応し、どこからをアウトソースするかは難しい問題だ。日本セキュリティオペレーション事業者協議会（ISOG-J）の副代表を務める阿部慎司氏がその黄金比探しとセキュリティ組織力を強化する秘訣を語った。

[宮田健，ITmedia]

　2024年8月26日〜9月2日に開催されたアイティメディアの主催セミナー「ITmedia Security Week 2024 夏」で日本セキュリティオペレーション事業者協議会（ISOG-J）の副代表を務める阿部慎司氏が登壇し、需要が高まっているマネージドサービスとの上手な付き合い方を解説した。

　同セッションでは、GMOイエラエでSOCイノベーション事業の立ち上げに従事しつつ、ISOG-Jでも「さまざまな業種の方から、いろんな悩みを聞く」という立場にある阿部氏から、セキュリティ運用における自分でやる／外部に任せるのいいとこ取りを実現するための“黄金比の探し方”が語られた。その様子をレポートしよう。

本稿は「ITmedia Security Week 2024 夏」に登壇した阿部慎司氏の講演「セキュリティ運用・対応の最適化〜内製と外注の黄金比探し〜」を基に編集部が再構成した。

何をインソースしてアウトソースするか　自社に最適な「黄金比」を探せ

　人材が不足する昨今、社内のリソースだけでは高いレベルでのセキュリティ運用を実現するのは困難な場合も多い。そこで最近ではマネージドセキュリティサービスプロバイダー（MSSP）をはじめとする、外部リソースをどう活用するかという議論が進んでいる。

ISOG-Jの副代表を務める阿部慎司氏

　阿部氏はこれについて「一般論だが自分たちだけで全てをやりきるのも、外部に全て任せるのも、どちらも無理がある。『内製』または『外注』の二元論ではなく“いいとこ取りをするための手法”、つまり『黄金比』を考える必要がある」と話す。

　同氏によると、そのヒントはISOG-Jが公開している「セキュリティ対応組織の教科書」にあるという。阿部氏も執筆に携わったこの教科書には、組織がセキュリティ対応に必要とする枠組みが体系的に解説されており、セキュリティ業務の定義も記されている。無料で公開されているため、ぜひこの機会に一読してほしい。

　この教科書では、セキュリティを強化する上でチェックしておきたい9つの領域とそれぞれの領域にひも付く64個の項目を定めている。それらは下図の通りだ。

セキュリティを強化する上でやるべき64項目（出典：阿部氏の講演資料）

　この64項目のうち、内製が向いているものと、外注しやすいものに属性を分けて考えるのが“黄金比”を見つける上では重要だ。下図のように横軸には「取り扱う情報の性質」を、縦軸には「セキュリティ専門スキルの必要性」を置くと分類しやすくなる。

「取り扱う情報の性質」と「セキュリティ専門スキルの必要性」を軸として64項目を4つの属性に分類する（出典：阿部氏の講演資料）

　このマトリックスを左上から見ていこう。左上は感染したマルウェアがどういったものかを解析し、その内容によって危険度を判断する機能を必要とする。そのため組織の中というよりは、外部の情報を基に攻撃者を判断する領域といえる。左下は、専門知識を基にマルウェア解析やフォレンジックを実施するスキルが必要であるため、一般的には社内で人材を用意できないことから、アウトソースで専門家に頼みやすい領域となる。

　右下の領域はログに残る痕跡を特定し、その特徴をロジックに変えてSIEM（Security Information and Event Management）などで調査できるようにする領域だ。阿部氏はこの領域について「『この部署の、この情報を扱う人は限られている』といった社内の情報も把握する必要がある」としつつ、「SIEMやロジック化など、ツール利用に関する高いスキルも必要だ」と阿部氏は述べる。右上の領域は自社の情報がなければ運用できないので、この部分は内製で対応する必要がある。

　阿部氏はこのマトリックスについて、「右上はインソース、左下はアウトソースを目指し、残りの二象限は、組織の特徴によって比率が変化する」と話す。