中小企業こそセキュリティをアウトソースすべき？ 任せるときに知っておきたいこと

サイバー攻撃が巧妙になる一方で、セキュリティ分野の人材不足が深刻化する――。そんな中、企業が注目しているのがセキュリティのアウトソースだ。効果的なセキュリティ対策を講じるためには、どんな手順でどのように準備を進めればいいのか。

[宮田健，ITmedia]

　2015年に経済産業省が「サイバーセキュリティ経営ガイドライン」を発表して以来、企業の経営層の間で「セキュリティ対策は経営課題」という認識が広まりつつある。

　それに伴い、セキュリティ対策への投資に理解を示す経営層が増えているが、新たな問題も浮上している。セキュリティ人材の不足だ。

　サイバー攻撃の手法は巧妙化する一方で、セキュリティ担当者に求められるスキルは年々高度化している。にもかかわらず、セキュリティ分野の人材不足は深刻で、育成も間に合っていないのが現状だ。

　こうした中、企業が注目しているのが、セキュリティのアウトソース。セキュリティのプロと手を組み、効果的なセキュリティ対策を講じるためには、どんな手順でどのように準備を進めればいいのか。セキュリティベンダーのトレンドマイクロと、実際に企業からのアウトソースを請け負っているインフォセックに話を聞いた。

どこから手を付けていいか分からない企業に「最初のステップ」を

インフォセック 営業本部のサイバーインテリジェンスセールスグループで部長を務める大塚岩氏

　インフォセック 営業本部のサイバーインテリジェンスセールスグループで部長を務める大塚岩氏によれば、これからますますアウトソースのニーズが高くなっていくのは、中小規模の企業だという。セキュリティ専任の人材を置くのが難しく、システムとセキュリティの運用を兼任しているケースが多いからだ。

　中小規模の企業から日々、相談を受ける中で「セキュリティに対する意識は徐々に高くなっており、裾野が広がってきているのを実感している」と大塚氏。企業の数だけ「守るべき情報資産」が存在し、その守り方も企業によって大きく異なる中で、まずは「最初のステップ」を示し、そこから残る部分をどうするかを明示するのが重要だと話す。

　「日々の業務が多忙を極める中、どこから手を付けていいか分からないというお客さまが少なくない。現状の運用やネットワーク構成はすぐに出てくるが、さらに掘り下げていくとセキュリティ的にほころびがある。そのため、営業であってもまずは、お客さまの現状を確認するといった簡易的なコンサルティングから入ることが多い」（大塚氏）

課題は「運用フェーズ」にある

トレンドマイクロ プロダクトマーケティング本部 法人製品マーケティング部 部長 ディレクターの大田原忠雄氏

　“セキュリティをアウトソースする”といっても、何もかも外部に任せられるわけではない。トレンドマイクロ プロダクトマーケティング本部 法人製品マーケティング部 部長 ディレクターの大田原忠雄氏は、セキュリティの「運用面」が課題になっているケースが多いと話す。

　例えば、専任のセキュリティ担当者を置くのが難しい中小企業では、ファイアウォール、IPSなどを含むネットワーク機器や、エンドポイントにインストールされたセキュリティ対策ソフト、さらにはActive Directoryなどのサーバから出力されるログを常に監視するという運用は不可能に近い。

　「せっかく対策のための機器を導入しても、誰もログを見ていないのでは安全を確保できない。ネットワーク監視において、機器のチューニングや見るべきポイントを押さえたログのチェックなどは、高い専門性が求められる。そのため、最近では機器選定時にまず『運用面はどうなのか』という部分も気にするお客さまが増えている」（大田原氏）

　つまり、昨今のセキュリティ機器は、選定時に“製品単体としての善しあし”だけではなく、運用として組み込んだ場合のフローを考える必要があるというわけだ。そして運用を考える上では、「会社として何を監視するか」を定義する必要がある。

　監視や検知をきっちり行うために、外から中だけでなく、マルウェアが中継サーバに通信するような「中から外」、さらには企業内ネットワークでの感染、偵察を見張る「中から中」の通信をどこまで確認したいのか、何を知りたいのかを定義することが重要だ。

セキュリティをアウトソースするということ

　守るべきものが分かった後は、「何を、どうやってアウトソースするか」を決めていくフェーズに入る。ここで、企業が定義した「なにを監視するか」が重要になる。

　例えば、各ネットワーク機器やエンドポイントのログを渡し、監視をアウトソースすると決めたら、ある粒度の「アラート」を、アウトソースした会社から受け取ることになる。

　その際に、事前にどのレベルまでの情報が必要なのかをアウトソース先と詰めておく必要がある。マルウェアに感染したことだけが分かればいいのか、攻撃の検知を把握したいのか、それとも「マルウェアを検知し外部と不正な通信をしている、そのIPアドレスとアカウントは〜〜なので、該当の端末を使っている、13Fにいる社員番号XXXに確認すべし」というところまでが必要なのか――といった具合だ。

　企業内に、ある程度のセキュリティスキルを持つ人材がいるなら、「攻撃を検知した」ことさえ分かればいいが、そうした人材がいないのであれば、アウトソース先の「セキュリティのプロによる、より詳しい知見」を受け取る必要があるだろう。

　これはいわば「SOC」（Security Operation Center）をアウトソースするのに近い。SOCの役割は、企業のシステムを監視し、不正な行動があればアラートをあげることであり、上がってきたアラートにどう対処するかという判断は、システムやビジネスを熟知した社内の人間にしかできない。この“アラートを上げる”作業はセキュリティの知見が必要であり、このような形で役割分担ができれば、アウトソースが現実的なものになる。

　多くの場合、その役割分担の線引きを行うこと自体が難しいと大塚氏は指摘する。「だからこそ、まずはお客さまの現状確認から始めている」（大塚氏）。

アウトソース先選定のポイントは

　大塚氏によると、インフォセックがセキュリティを請け負う企業に業種、業態の偏りはなく、比較的保守的といわれる金融業界や自治体からも引き合いが増えているという。「同様のサービスを提供するベンダーも増えているだけに、選定基準を誤ってはならない」大塚氏は述べる。

　選定基準も、実際の運用に即した「アラートの粒度」が重要になるという。例えばIPSでは、通信内容とシグネチャとを比較し、クロスサイトスクリプティングやSQLインジェクションなどの攻撃コードが含まれているかどうかを検知する。もし、この時点で検知し、アラートとして企業側に連絡が来た場合、その判断ができるかどうかを運用面で確認しなくてはならない。具体的には「通信元IPアドレス、攻撃パターン」だけが来たときに、次の一歩が踏み出せるかどうかだ。

　それでは対処できない場合、アウトソース先の「知見」を求める必要がある。セキュリティのプロであれば、これまでの経験から、「今すぐ対処する必要があるのか、過検知／誤検知なのか」といった分析から、該当端末やサーバの特定、他社に対して起きている攻撃事例なども含め、掘り下げたレポートを出せるはずだ。

　つまり、その「アラートの粒度が自社にとって適切か」を考え、それに対応しうるアウトソース先なのかを判断する必要がある。

アウトソースするために、まずは「整理」しよう

　セキュリティをアウトソースすることはセキュリティから逃げることではなく、真っ正面から向き合い、人材、スキル、ソリューションのどこにほころびがあるのかを把握し、外に出せるものをプロに任せる――という作業にほかならない。

　そのためにも、まずは自社の状況を把握することが重要だ。守るべき最も重要な情報資産は何か、今まで投資したセキュリティ機器は何か、なにが足りないのか、自社のスキルと必要なアラートの粒度はなにかを考える。それが、セキュリティをアウトソースするための第一歩になるだろう。