ここまで約半年に渡り、サイバーセキュリティの変遷を振り返ってきました。その中で見えてきたことをまとめると大きく以下の通りでした。
- 攻撃はばら撒き型と標的型攻撃に分けられる。ばら巻き型は高度なセキュリティ製品で防御することが可能であるが、標的型攻撃の検知や防御、対策には高度なセキュリティ製品での防御の他にセキュリティ運用を含め専門家の力が必要
- 標的型攻撃において攻撃者のターゲットは”モノ”の脆弱性から”人”の脆弱性に変わってきていて、巧妙化している
- そのため、自社内のCSIRT(もしくはセキュリティ組織や担当者)が効果的に動けるように、セキュリティ専門家を擁したSOCをアウトソーシングすることも有効である。(もちろん、自社ですべてをまかなうことができる企業もある)
次のステップとしては、アウトソーシングベンダーをどのように選択したらよいのか、という話になりますね。最終回はその部分を深堀したいと思います。
情報セキュリティサービス基準には何が記載されている?
2018年2月28日付で経済産業省から「情報セキュリティサービス基準」が公開されました。目的を要約すると以下のようになります(あくまで筆者の要約なので、正確な内容は原本をご覧ください)。
- サイバーセキュリティは増加・高度化の傾向にあり、セキュリティ製品の導入だけでは十分ではなく、専門事業者の行う情報セキュリティサービスの利用を含めて検討する必要がある(これは経済産業省の出しているサイバーセキュリティ経営ガイドラインに沿った内容)
- 一方、情報セキュリティサービスは多くの事業者から提供されているが、お客様が事業者のサービス品質を判断することは容易ではない
- そのため、第三者が客観的に判断し、その結果をとりまとめて公開することでお客様が利用する際に参照できる仕組みの提供が必要
「情報セキュリティサービス基準」の詳細を見ていくと、情報セキュリティサービスが大きく以下の4カテゴリに分類されています。
- 情報セキュリティ監査サービスに係る審査基準
- 脆弱性診断サービスに係る審査基準
- デジタルフォレンジックサービスに係る審査基準
- セキュリティ監視・運用サービスに係る審査基準
本連載では、4つ目のセキュリティ監視・運用サービスについてお話をしてきましたので、そこにフォーカスして考察しましょう。
ベンダーをどう選ぶ?
「情報セキュリティサービス基準」の中のセキュリティ監視・運用サービスについては、技術要件として、専門性を持った人材の在籍(専門性には各種資格取得も含む)やサービス仕様を明示していること、品質管理要件として、品質管理者の配置やマニュアルの整備、継続的な品質維持・向上のための仕組みの導入が記載されています(詳細はぜひ原本をご覧いただければと思います)。
確かにこれらの指針がない中でセキュリティサービス事業者を選択しようとすると、基準がわからないため、最終的には実績やネームバリュー、予算に収まる価格で選択する、といったことが起こる可能性がないとは言えませんね(賢明なお客様はそのような選択をされるとは思いませんが)。
そういった意味では、セキュリティアウトソーサーを選択する上で「情報セキュリティサービス基準」は一つの有効な指針だと言えると思います。
では、「情報セキュリティサービス基準」に記載されている内容をRFPに記載し、セキュリティサービス事業者を競合させればベストなベンダー選定ができるのかというと、個人的にはそうでもない気がします。
この連載でも何回か記載しましたが、例えば、ある情報セキュリティサービスベンダーが上記の基準に当てはまったとしても、単体の機器監視サービスしか提供しなかったり、アラートお知らせサービスしか提供しなかったりする場合、お客様のCSIRTやセキュリティ担当者は結局、偽陽性(false positive)と偽陰性(false negative)の確認や原因調査を自ら行わなくてはなりません。
実際私がお客様に聞くのは、セキュリティサービスベンダーには本当に危険なサイバー攻撃の検知とエスカレーション、場合によってはその対処についてのアドバイスを期待しているのに、実際のサービスレベルはアラートの白黒判定が主で、「グレーな部分はお客様で確認をしてください」「もし問題がなければホワイトリストに追加するので連絡をください」というようなものである、というお話です。
「もともとリソース不足が問題だったからアウトソーシングをお願いしているにも関わらず、やることが増えた」との愚痴もありします。極端な例になると、「グレーな部分を精査したいのはやまやまだけれど、時間が取れないからできない。こんなことであれば、いっそ見えなかった方がよかった」などの声も聞こえてきます。
これは極端な例ですが、いずれにしてもそのような話になるのであれば何のためにアウトソーシングにお金を払っているのかわからなくなってしまいます。
そのような企業では、ベンダー選定をどのように考えたらよいのでしょうか。確かに「情報セキュリティサービス基準」に記述されている、技術や品質は非常に重要です。ですから、それをボトムラインとして考えるのはよいとして、もともと「セキュリティ運用」の話をしているのですから、目的が前述のような「製品監視」にすり替わってはいけません。
お客様が100社あれば100通りの運用があるといっても過言ではないと思います。そうすると、お客様の環境やセキュリティ対策状況、オペレーション等をまずは把握し、その上でサイバーセキュリティ対策の観点から過不足を確認し、どのようなセキュリティ運用がお客様にフィットするのかを提案できるベンダーがよいのではないかと考えます。
「過」の見直しを
サイバーセキュリティ対策の観点から「過不足」と記述しました。どうしても「不足」の部分に目が行きがちなのですが、私は「過」の部分も見直すべきだと考えています。
「不足」に該当する製品での対策の限界はこの連載でも書いてきましたし、お客様もすでにお気づきのことだと思います。
一方、個々のセキュリティ製品の機能が追加されたり高度化したり、また、多段防御として導入した複数の製品に機能的な重複が起こっている可能性もあります。そのような部分は「過」な部分になるので、理論的には取り払ってもよいと考えられます。
極端な言い方をすれば”お守りにお金を払い続けますか”ということですね。確かに、取り払うのは気持ちの悪い話かもしれませんが、セキュリティ的に問題ないことがわかれば、取り払った費用をより有効な運用のアウトソーシングサービスに振り分けるという方法もありでしょう。
また、情報セキュリティサービス会社にサービスそのものの思想について聞いてみるのもよいでしょう。
担当者は、通り一遍のサービス機能説明をするのか、それともお客様の実際のセキュリティ対策や運用を聞いた上で課題を明確にし、個々に必要な部分のみの監視を提案するのか。そして、サービスの設計思想がそもそも何をベースにスタートしているのか。
わかりやすく言えば、製品単体の監視の話であれば前述のとおりですし、お客様の運用重視であれば複数の製品を監視する相関分析の話になるはずです。
こちらも以前に説明しましたね。その上でお客様が納得されるサービスを選択することをお勧めします。
* * *
私の連載はこれで最後となりますが、サイバーセキュリティ対策はより高度化し、汎用的な攻撃のほとんどは、機器やソフトで防御できるようになる(あるいはできている)と言っても過言ではありません。
一方、本当に高度な攻撃、つまり目的を持って標的を狙う攻撃は我々の想像を遥かに超えて進化し、そのステルス性もさらに高まると予想されます。現在のビジネス環境で(いえ、ビジネスだけではなく、プライベートでもですね)インターネットを利用しない、という選択肢はありませんから、必要なモノ、ナレッジ、インテリジェンス、こういったものを、アウトソーシングを含めて取り入れていく必要はより高まると考えられます。
第1回に記述したとおり、20年前の風景は今から考えるとのどかなものでした(それでも当時はドタバタしていたのですが)。逆にいうと、20年経って、こんなにネットが利用されるとは当時は想像もつきませんでしたし、ネットの犯罪がビジネスになるとは思いもよりませんでした。
そのような中で安全で快適なインターネット環境をお客様にご利用いただくために、私たちはどうすればよいのか。本連載が少しでもお役に立ったのであれば幸いです。機会があれば、セキュリティ動向について改めて深掘りしていきましょう。ご意見や質問などがございましたら、IT Search+のご意見ご感想ページからなんなりとお寄せください。
長い間お付き合いいただき、ありがとうございました。
著者紹介
村上 雅則(むらかみ まさのり)
マクニカネットワークス営業統括部
セキュリティサービス営業部 部長代理
1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の提案を行う。
現在は製品によるサイバーセキュリティ対策もさることながら、お客様におけるセキュリティ運用の重要性の認知向上や課題の解決が優先事項と考え、日々の活動を通じ、課題解決のための仕組みのご提案に従事する。