前回は企業のセキュリティ運用の重要性について話をしてきました。

ただ、ユーザー企業にとってはセキュリティ人材の確保が難しい、という声をよく耳にします。自社内での育成はもちろん、外部から人材を採用しようにも、人材不足が叫ばれているセキュリティエンジニアには相応のものが必要で、社内の規定に合わないことも多いようです。

セキュリティ人材は今やひっぱりだこですし、そもそも専門性の高い職種なので、規定の枠に収めるのが難しいのかもしれません。そのような課題のある中で今回はセキュリティ運用のインソーシングとアウトソーシングについて考えてみます。

インシデント対応時に必要な役割

まずは以下の図をご覧ください。

CSIRTの機能

これは私がお客様にセキュリティ運用を整理いただく際に利用する資料なのですが、お客様のCSIRT(でなくてもよい。セキュリティを担当する部署もしくはご担当)には以下の機能があると私は考えています。

  • 専門的技術者 : いわゆる皆さんがイメージするセキュリティエンジニアです。インシデントが発生した際の技術的対応はもちろん、平時からのセキュリティ対策強化などを検討する役割です。
  • 内部調整役 : インシデント発生時にシステムをとめて調査・対応をしなければならないとなった場合、その調整を行う役割です(どのタイミングで止めるかの調整、確認、承認など)。
  • 外部調整役 : インシデントの影響範囲が大きく、外部に公表しなければならなくなった場合、その対応を行う役割です(社長、広報、法務など)。

お気づきのとおり、セキュリティ運用といっても役割ごとに見れば、必ずしも一人(あるいは1組織)ですべての役割を担う必要はありません。

“セキュリティ人材の不足”と言われているのは専門的技術者であることはおわかりでしょう。つまり、セキュリティの専門的技術者がお客様の環境を熟知し、平常時から監視を行い、異常を検知した際(=インシデント発生時)に的確に調査・報告を行えば、内部調整役は業務への影響を確認し、関係者に同意を取って速やかにシステムを止めることに専念できます。

当然、システムを止めるまでに時間差がありますから、どのように拡散を防いで時間を稼ぐかは専門的技術者と相談しつつ、社内の調整をする必要がありますが、技術的調査をしながら、同時に内部調整をしなければならない状況では対応が後手に回り、被害が拡大する可能性も十分ありえます。

ただし、内部調整は社内事情をよく知る人間、つまりその企業の社員が担当する必要があります。

また、昨今では外部に公開しなければならないようなインシデントが発生した際に、いかに早く発生した事実、時系列、状況、対策・対応を公開するかが重要なポイントになってきます。公開が遅れたり、後から新事実が出てきたりするようだと、セキュリティインシデントを隠蔽しようとした、というあらぬ疑いをかけられることもあります。

これらの課題も前述のような専門的技術者が平時から監視を行っていれば、すばやく報告をまとめ、公開も早く行うことができます。ただ、こちらも社内の人間が担当する必要があります(大きなインシデントが発生したにもかかわらず、外部の人間がカメラの前で頭を下げる、という図式は世間の反感を招くだけですからね)。

[余談]最低限のセキュリティ対策は大前提


インシデントの発生を炎上させないためには、どれだけ早く発生事実と有効な対策を公開できるか、にかかっているといっても過言ではありません。つまり、極端な言い方をすればステークホルダー(そのインシデントで影響を受けるさまざまな人々)に”そこまで対策をしていてインシデントにあってしまったなら仕方がない”と思ってもらえるようなセキュリティ運用を常時行っておく必要がある、ということです。”起こるべくして起こったインシデント”とステークホルダーに解釈されると、ある意味、非難が集中し、いかに早く公開をしたところで世間から叩かれるのがオチです。

アウトソーシングの有効性

どうでしょう?セキュリティ運用も役割を整理すると、自社でも決してできないことではないことがお解かりかと思います。課題は、セキュリティの専門技術者をどうやって確保するかということにありますね。

ここでひとつ有効と思われる手段があります。

セキュリティの専門技術者を自社で雇おうとするのが困難なのは先に延べたとおりですが、アウトソーシングすることは可能です。いわゆるMSS(Managed Security Service Provider)といわれる事業者やSOC(Security Operation Center)サービスを提供している会社を利用する方法です。

これらの会社はお客様のセキュリティ運用監視を含めたセキュリティ専門のサービスを行っており、当然セキュリティの専門技術者を多く抱えています。さらに良いのは、お客様が自社で雇うわけではなく、「サービスを利用する=セキュリティ技術者をシェアする」形になるため、セキュリティ技術者を採用するよりも比較的安価に利用できることにあります。

さらに言えば、セキュリティ運用面においても大きなメリットがあります。これらの事業者のセキュリティ技術者は日々さまざまなお客様のセキュリティインシデントの検知、調査、対応、さらに言えば再発防止を仕事として行っています。つまり、複数のお客様で起こるさまざまなセキュリティインシデントに対応しながら経験値を高め、「知見=インテリジェンス」として蓄積しているのです。

1社の企業ではインシデントが毎日発生するようなことはありませんが(毎日発生しているなら、相当マズイ状況であるので早急な対応をお勧めします)、これらの事業者は多くのお客様の対応をしているため、毎日なんらかの事象を経験し、対応しているわけです。

インシデントが発生すると、そこで得られた知見=インテリジェンスを速やかにシステムにフィードバックしたり、アナリスト自身が監視の強化を行ったりすることになります。複数社担当するアナリストであれば、その経験を他社にも横展開できるでしょう。他社で発生したインシデントからアナリストが兆候を早期に発見してお客様にエスカレーションできるため、インシデントの発生を未然に防げる可能性が格段に高くなります。

アウトソーシングには、他社情報の横展開でインシデントを未然に防げるというメリットも

つまり、個別の企業にとっては初めてのインシデントであったとしても、SOCのアナリストにはすでに他で発生した(あるいは情報として先に入手していた)経験があるわけですから、迅速に対応できるというわけですね。お客様にとってSOCアナリストの知見はP・F・ドラッカーの言う「すでに起こった未来」なのかもしれません。

平時からのお付き合いが大切

このような効果が期待できるのは、前述のとおり、インシデントが発生してから調査をするのではなく、平時から専門的技術者がセキュリティ監視を行い、通常値から外れた異常を発見することで成り立つものとなります。

インシデントに気付いてからMSSPに連絡をして対策を求める場合、まずはお客様の環境を把握する作業を行い、その後にインシデントの調査を開始することになります。その間にも時間は刻々と過ぎます。そもそもインシデントに気がついた時点では、攻撃者に相当入り込まれているため、一刻の猶予も許さない状況が多く、この損失時間は深刻です。

また、攻撃キャンペーンが発生し、数多くのお客様でインシデントが確認された場合に、MSSPが自社の監視サービスを継続して利用しているお客様を優先するのは想像に難くありません。

もちろん、モノによるセキュリティ対策は重要ですが、平時からのセキュリティ監視を行う重要性はご理解いただけたかと思います。

次回は市場に多くあるセキュリティベンダーの中からどのようなベンダーを選択するべきかについて述べることにします。

著者紹介


村上 雅則(むらかみ まさのり)
マクニカネットワークス営業統括部
セキュリティサービス営業部 部長代理

1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の提案を行う。

現在は製品によるサイバーセキュリティ対策もさることながら、お客様におけるセキュリティ運用の重要性の認知向上や課題の解決が優先事項と考え、日々の活動を通じ、課題解決のための仕組みのご提案に従事する。