ソフトバンク・テクノロジー(SBT)は2016年10月に「McAfee SIEM 認定スペシャリスト数が世界一」というプレスリリースを行った。セキュリティスペシャリストに望まれる資格はほかにも多々あるが、SBTが提供する「McAfee SIEM運用サービス」の利用を検討する企業にとって、ベンダー認定スペシャリストの多さは心強いことだろう。
一方で2020年には東京オリンピックが待ち構えているが、この一大イベントを狙い、日本企業も多数のサイバー攻撃に晒される可能性が高い。攻撃への対応とインシデント発生時のフォレンジックや対外説明への対応が必要となる中で、企業は自社リソースだけでセキュリティを確保できるのか、SBT 技術統括 セキュリティソリューション本部 本部長 CISOの北村 裕司氏と、同本部 プロフェッショナルサービス部の室井 良介氏に話を聞いた。
ソフトバンク・テクノロジー 技術統括 セキュリティソリューション本部 本部長 CISO 北村 裕司氏 |
ソフトバンク・テクノロジー 技術統括 セキュリティソリューション本部 プロフェッショナルサービス部 室井 良介氏 |
――御社のSIEMサービスの顧客層についてお聞かせください。また、これらの企業が自社でセキュリティ運用する際の課題はどこにあるのでしょうか?
SBT : 弊社SIEMサービスの想定顧客は、従業員規模の大きい、大企業でグループを形成しているような企業(ラージアカウント)になります。一方で、ラージアカウントであろうと、規模が小さい場合であろうと、どのような会社でも「セキュリティ人材の不足」は喫緊の課題です。
中央省庁や企業がセキュリティ人材を育成しようと取り組んでいますが、「2020年に向けて」という意味では残りわずか3年です。その状況を踏まえると、一般企業が「セキュリティ スペシャリストを社内で育成しよう」としても難しいのが実情ではないでしょうか。
また、「社内人材のみでセキュリティインシデント対応を」という風に考えられる企業もいらっしゃいますが、対応するためには24時間体制が前提になります。シフト制以外にも、セキュリティ教育や運用改善などの業務にフォーカスした人材が必要になりますから、エンタープライズ企業であっても、自社だけで必要な質・量のセキュリティエンジニアを確保することは難しいでしょう。
では、単にシフト制を組んで「24時間体制のセキュリティ監視」を実現できるのかというと、セキュリティ人材のモチベーションを保ちつつ、万全の体制で臨むには、セキュリティ専任エンジニアが一桁では「足りない」のが答えです。社内に高度な情報セキュリティ責任者を配置するのはもちろんですが、最前線で勤務する人材やセキュリティインパクトを評価するアナリストに関しては、豊富な知見を持った会社にアウトソースする流れが自然だと考えています。
――ここ数年のセキュリティ業界は「100%防御はできないから、侵入されたらいち早く検知、対処するべき」という考えが主流です。SIEMはこの流れに沿うものなのでしょうか?
SBT : 複数のセキュリティデバイスを導入して社内ネットワークを防御するという流れが通用しにくくなってきているのが実情です。しかし、上がってくるログデータを継続的に確認することは価値があります。一方で、膨大なログから脅威に該当するアラートをいかに早く、いかに精度を高めて抽出できるかが課題です。そこでSIEMが果たす役割として「さまざまなセキュリティデバイスから上がってくるログを相関分析にかけ、精度の高いアラートを抽出できる」があります。