セキュリティ運用のアウトソーシングベンダーの選定

【連載】

どうする!? セキュリティ運用アウトソーシング

【第7回】セキュリティ運用のアウトソーシングベンダーの選定

[2019/03/05 07:30]村上 雅則 ブックマーク ブックマーク

  • セキュリティ

セキュリティ

ここまで約半年に渡り、サイバーセキュリティの変遷を振り返ってきました。その中で見えてきたことをまとめると大きく以下の通りでした。

  1. 攻撃はばら撒き型と標的型攻撃に分けられる。ばら巻き型は高度なセキュリティ製品で防御することが可能であるが、標的型攻撃の検知や防御、対策には高度なセキュリティ製品での防御の他にセキュリティ運用を含め専門家の力が必要
  2. 標的型攻撃において攻撃者のターゲットは”モノ”の脆弱性から”人”の脆弱性に変わってきていて、巧妙化している
  3. そのため、自社内のCSIRT(もしくはセキュリティ組織や担当者)が効果的に動けるように、セキュリティ専門家を擁したSOCをアウトソーシングすることも有効である。(もちろん、自社ですべてをまかなうことができる企業もある)

次のステップとしては、アウトソーシングベンダーをどのように選択したらよいのか、という話になりますね。最終回はその部分を深堀したいと思います。

情報セキュリティサービス基準には何が記載されている?

2018年2月28日付で経済産業省から「情報セキュリティサービス基準」が公開されました。目的を要約すると以下のようになります(あくまで筆者の要約なので、正確な内容は原本をご覧ください)

  • サイバーセキュリティは増加・高度化の傾向にあり、セキュリティ製品の導入だけでは十分ではなく、専門事業者の行う情報セキュリティサービスの利用を含めて検討する必要がある(これは経済産業省の出しているサイバーセキュリティ経営ガイドラインに沿った内容)
  • 一方、情報セキュリティサービスは多くの事業者から提供されているが、お客様が事業者のサービス品質を判断することは容易ではない
  • そのため、第三者が客観的に判断し、その結果をとりまとめて公開することでお客様が利用する際に参照できる仕組みの提供が必要

「情報セキュリティサービス基準」の詳細を見ていくと、情報セキュリティサービスが大きく以下の4カテゴリに分類されています。

  1. 情報セキュリティ監査サービスに係る審査基準
  2. 脆弱性診断サービスに係る審査基準
  3. デジタルフォレンジックサービスに係る審査基準
  4. セキュリティ監視・運用サービスに係る審査基準

本連載では、4つ目のセキュリティ監視・運用サービスについてお話をしてきましたので、そこにフォーカスして考察しましょう。

ベンダーをどう選ぶ?

「情報セキュリティサービス基準」の中のセキュリティ監視・運用サービスについては、技術要件として、専門性を持った人材の在籍(専門性には各種資格取得も含む)やサービス仕様を明示していること、品質管理要件として、品質管理者の配置やマニュアルの整備、継続的な品質維持・向上のための仕組みの導入が記載されています(詳細はぜひ原本をご覧いただければと思います)

確かにこれらの指針がない中でセキュリティサービス事業者を選択しようとすると、基準がわからないため、最終的には実績やネームバリュー、予算に収まる価格で選択する、といったことが起こる可能性がないとは言えませんね(賢明なお客様はそのような選択をされるとは思いませんが)。

そういった意味では、セキュリティアウトソーサーを選択する上で「情報セキュリティサービス基準」は一つの有効な指針だと言えると思います。

では、「情報セキュリティサービス基準」に記載されている内容をRFPに記載し、セキュリティサービス事業者を競合させればベストなベンダー選定ができるのかというと、個人的にはそうでもない気がします。

この連載でも何回か記載しましたが、例えば、ある情報セキュリティサービスベンダーが上記の基準に当てはまったとしても、単体の機器監視サービスしか提供しなかったり、アラートお知らせサービスしか提供しなかったりする場合、お客様のCSIRTやセキュリティ担当者は結局、偽陽性(false positive)と偽陰性(false negative)の確認や原因調査を自ら行わなくてはなりません。

機器監視の結果やアラートの通知しかしてくれないセキュリティサービスでは、ユーザー企業の負担が大きいまま

実際私がお客様に聞くのは、セキュリティサービスベンダーには本当に危険なサイバー攻撃の検知とエスカレーション、場合によってはその対処についてのアドバイスを期待しているのに、実際のサービスレベルはアラートの白黒判定が主で、「グレーな部分はお客様で確認をしてください」「もし問題がなければホワイトリストに追加するので連絡をください」というようなものである、というお話です。

「もともとリソース不足が問題だったからアウトソーシングをお願いしているにも関わらず、やることが増えた」との愚痴もありします。極端な例になると、「グレーな部分を精査したいのはやまやまだけれど、時間が取れないからできない。こんなことであれば、いっそ見えなかった方がよかった」などの声も聞こえてきます。

これは極端な例ですが、いずれにしてもそのような話になるのであれば何のためにアウトソーシングにお金を払っているのかわからなくなってしまいます。

そのような企業では、ベンダー選定をどのように考えたらよいのでしょうか。確かに「情報セキュリティサービス基準」に記述されている、技術や品質は非常に重要です。ですから、それをボトムラインとして考えるのはよいとして、もともと「セキュリティ運用」の話をしているのですから、目的が前述のような「製品監視」にすり替わってはいけません。

お客様が100社あれば100通りの運用があるといっても過言ではないと思います。そうすると、お客様の環境やセキュリティ対策状況、オペレーション等をまずは把握し、その上でサイバーセキュリティ対策の観点から過不足を確認し、どのようなセキュリティ運用がお客様にフィットするのかを提案できるベンダーがよいのではないかと考えます。

セキュリティ対策/運用を一緒に考えてくれるベンダーがオススメ

「過」の見直しを

サイバーセキュリティ対策の観点から「過不足」と記述しました。どうしても「不足」の部分に目が行きがちなのですが、私は「過」の部分も見直すべきだと考えています。

「不足」に該当する製品での対策の限界はこの連載でも書いてきましたし、お客様もすでにお気づきのことだと思います。

一方、個々のセキュリティ製品の機能が追加されたり高度化したり、また、多段防御として導入した複数の製品に機能的な重複が起こっている可能性もあります。そのような部分は「過」な部分になるので、理論的には取り払ってもよいと考えられます。

極端な言い方をすれば”お守りにお金を払い続けますか”ということですね。確かに、取り払うのは気持ちの悪い話かもしれませんが、セキュリティ的に問題ないことがわかれば、取り払った費用をより有効な運用のアウトソーシングサービスに振り分けるという方法もありでしょう。

また、情報セキュリティサービス会社にサービスそのものの思想について聞いてみるのもよいでしょう。

担当者は、通り一遍のサービス機能説明をするのか、それともお客様の実際のセキュリティ対策や運用を聞いた上で課題を明確にし、個々に必要な部分のみの監視を提案するのか。そして、サービスの設計思想がそもそも何をベースにスタートしているのか。

わかりやすく言えば、製品単体の監視の話であれば前述のとおりですし、お客様の運用重視であれば複数の製品を監視する相関分析の話になるはずです。

こちらも以前に説明しましたね。その上でお客様が納得されるサービスを選択することをお勧めします。

*  *  *

私の連載はこれで最後となりますが、サイバーセキュリティ対策はより高度化し、汎用的な攻撃のほとんどは、機器やソフトで防御できるようになる(あるいはできている)と言っても過言ではありません。

一方、本当に高度な攻撃、つまり目的を持って標的を狙う攻撃は我々の想像を遥かに超えて進化し、そのステルス性もさらに高まると予想されます。現在のビジネス環境で(いえ、ビジネスだけではなく、プライベートでもですね)インターネットを利用しない、という選択肢はありませんから、必要なモノ、ナレッジ、インテリジェンス、こういったものを、アウトソーシングを含めて取り入れていく必要はより高まると考えられます。

第1回に記述したとおり、20年前の風景は今から考えるとのどかなものでした(それでも当時はドタバタしていたのですが)。逆にいうと、20年経って、こんなにネットが利用されるとは当時は想像もつきませんでしたし、ネットの犯罪がビジネスになるとは思いもよりませんでした。

そのような中で安全で快適なインターネット環境をお客様にご利用いただくために、私たちはどうすればよいのか。本連載が少しでもお役に立ったのであれば幸いです。機会があれば、セキュリティ動向について改めて深掘りしていきましょう。ご意見や質問などがございましたら、IT Search+のご意見ご感想ページからなんなりとお寄せください。

長い間お付き合いいただき、ありがとうございました。

著者紹介


村上 雅則(むらかみ まさのり)
マクニカネットワークス営業統括部
セキュリティサービス営業部 部長代理

1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の提案を行う。

現在は製品によるサイバーセキュリティ対策もさることながら、お客様におけるセキュリティ運用の重要性の認知向上や課題の解決が優先事項と考え、日々の活動を通じ、課題解決のための仕組みのご提案に従事する。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

ぴあ だからできた! チケット事業の経験を活かした事故対応 [事故対応アワード受賞レポート]

ぴあ だからできた! チケット事業の経験を活かした事故対応 [事故対応アワード受賞レポート]

ぴあが運営していたB.LEAGUEのチケットサイトおよびファンクラブ受付サイトがStruts 2の脆弱性をつかれて情報漏洩した。そのとき、ぴあ担当者ではどう動いたのか。世間の混乱を最小限にとどめた同社の優れた対応を、幹部らのインタビューを元に振り返りたい。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る