近年、急増するセキュリティインシデント。万が一個人情報が漏えいした場合、巨額の賠償や信用失墜などによって、企業の存続そのものが脅かされることになる。さらに、マイナンバー制度の導入などもあり企業は事業内容や規模に関わらず、セキュリティの強化を義務付けられることとなる。

しかし、予算も潤沢で人材も豊富な大企業ならいざ知らず、予算も人材も余裕がない中小企業では、すべての脅威に対して対抗策を講じることは難しい。

アイ・ユー・ケイ 営業本部 営業推進部長 飯塚浩一氏

「日本では企業数全体のうち、実に99%以上が中小企業です。しかし、市場に提供されているセキュリティソリューションの多くは、全体の1%にも満たない大企業をターゲットにしたサービスばかりです。これこそがいま、日本国内のセキュリティ事情における最大の課題だと考えています」と語るのは、ICTサービスを運用からサポートまでトータルに提供するアイ・ユー・ケイ(以下、IUK)の営業本部 営業推進部長 飯塚浩一氏である。

本稿では「十分な予算もなく、運用する人もいない」ケースのセキュリティ対策について、同社が提供するセキュリティサービス体系を例に解説する。

まず「何が起こっていて、何をすべきか」を知る

「今では、多くの企業の方々がセキュリティの重要性を理解しています。しかし、『具体的に何をどうすればいいのかよくわからない』というのが現状ではないでしょうか」(飯塚氏)

ウイルス対策ソフト、ファイアウォール、IPS(侵入防止システム)、WAFなど、現在ではサイバー攻撃への対策ソリューションは多種多様に存在する。もし完璧なセキュリティ対策を目指すのであれば、これらすべてを導入して効率よく運用しなくてはならない。だが、予算も人材も不足気味な中小企業では、これらを実行するのは現実問題として不可能である。

ではどうすればよいのか? その問いに対する答えとして飯塚氏は「まず、現状を知ることが大切です。今、どのような攻撃を受けているのか。それらの攻撃に対して安全な状態なのか。もし危険であるのであれば、どこに問題があるのか。これらを理解すれば、自ずと何から対策を行うべきかが見えてきます。そのために、現状の可視化から手をつけることが重要となってきます」

現状の見える化によって、どんな対策が必要なのかを把握できる

重要なのはスピードよりも理解した上での納得感

IT分野は常に変化を続けている。そのため、すべてにおいてスピードを優先する傾向が強い。セキュリティ分野においても同様で、被害を最小限に抑えたいのであれば「一刻も早く対策ソリューションを導入すべき」という主張が一般的である。

だが飯塚氏は、スピードがすべてに優先するとは限らないという。「もちろん、早いに越したことはありません。ただ、現状の理解がないままに導入してしまっても、スムーズな運用はできません」(飯塚氏)

過去に発生した情報漏えい事件においても、「実は導入していたソリューションに原因を防ぐための機能は備わっていたが、その存在を知らずに初期状態のまま運用していたため、漏えいを防ぐことができなかった」というケースも少なくはない。つまり、どんなに高価で高機能なソリューションを導入しても、理解がないままに運用していては、意味をなさないことも十分有りうるのだ。

「私たちがセキュリティサービスを提供する際は、まずパケットとログ解析による脅威診断を行って現状を可視化します。次にどこに問題があり、どんな対策が必要なのかについて、時間をかけて話し合いを行います。そして納得してもらった上で導入を進めるようにしています」(飯塚氏)

現状の把握と対策への理解があれば、対策に優先順位を付けて、予算に応じて配分することも可能だろう。それと同時に、不十分な運用によって生じる脅威の危険性も下げることにもつながる。

中小企業でも導入可能な24時間365日体制の
SOC(セキュリティ・オペレーション・センター)サービス

昨今のサイバー攻撃は、そのほとんどが海外からである。攻撃者らは、朝昼晩平日や祝日もお構いなしに手当たり次第に攻撃を仕掛けてくる。これらに対抗するためには24時間365日の監視体制(SOC)が必要だ。だが現実問題として、そのための体制を整えられるのは、予算と人材が潤沢な大企業のみである。

このSOCを、月額約30万円~、かつ初期費用0円という、中小企業でも導入可能な価格帯で提供するサービスがIUKの提供する「IUKMSS&i」である。

「IUKMSS&i マネージド・セキュリティ・サービス概要」
SOCによってセキュリティ運用をアウトソーシングして予算と人材の問題を解決

日本国内において、主に大企業向けにSOCサービスを提供してきた企業とパートナー関係を結び、IUKが持つ様々なセキュリティソリューションと融合させ、中小企業にも対応できる環境を実現している。

「必要な機材は、すべてレンタルで提供させていただいています。設定についても、ミラーポートさえ開けていただければ、すぐに導入が可能です。ただ基本的には、無料トライアルで実態を調査してからとなるので、お話があって即導入というケースはめったにありません」(飯塚氏)

なお、IUKが話し合いにかける時間はおよそ1ヶ月だという。そのためIUKMSS&iは、1ヶ月間の無償トライアルを実施しているとのことだ。セキュリティ対策の第一歩は現状を知ること。そのための手段として、無料トライアルは非常に有効なものと言えるだろう。また、IUKのセキュリティ対策サービスの概要は以下のようになっており、一度同社のHPをご確認いただき、自社のセキュリティ対策を再検討してみてはいかがだろうか。

「IUKMSS&i」の詳細はこちら >>
アイ・ユー・ケイのHPはこちら >>

IUKのセキュリティ対策サービス体系
  1. 資産棚卸:所有しているIT資産(ハードウェア、ソフトウェア、業務データ等)を把握し、守るべきものの優先順位を理解する
  2. 脆弱性チェック:使用しているOSやアプリケーション(Webアプリ含む)に脆弱性が存在していないかをチェック
  3. ネットワーク監視:ネットワークを24時間365日体制で監視して脅威分析を実行
  4. セキュリティ診断:ネットワーク、Webアプリ、サーバーなどのシステムセキュリティを監視してリアルタイムに分析
  5. セキュリティ環境構築:マルウェア対策、ファイアウォールやIPSなどの導入と運用
  6. 運用監視デスク:24時間365日体制のシステム監視、緊急対応サービスなど

(マイナビニュース広告企画:提供 アイ・ユー・ケイ)

[PR]提供:IUK