解決策がここにある!IT部門のお悩みスペシャル(第2回)

人材不足、経営者意識改革…セキュリティの課題解決

2016.12.14 Wed連載バックナンバー

 多くの企業の情報システム部門に共通する悩みを取り上げ、課題解決につながるポイントを解説していきます。連載第2回では、人材やコスト、ガバナンスといった側面における、セキュリティ対策面に関する悩みを解説します。

 

お悩み1:人手が足りずセキュリティにリソースを割けられない

・経営層からセキュリティ対策の強化を指示されているが、人手が足りない

・セキュリティ製品は導入しているが、運用まで手が回らない

人材不足でセキュリティまで手が回らない!

 パソコンやファイルサーバーに保存されたデータを勝手に暗号化し、それを元に戻す復号化のための鍵を教える代わりに金銭(身代金)を要求する「ランサムウェア」の被害が広がっています。ここ数年、機密情報を窃取する標的型攻撃が多発していましたが、今後はランサムウェアにも意識を向けなければならないでしょう。

 このようなサイバー攻撃による被害を防ぐためにセキュリティ対策は欠かせませんが、そこで問題となるのが人材不足です。情報システム部門のメンバーは既存システムの運用や新規システムの構築などに忙殺されていて、なかなかセキュリティまで手が回らないというのが実態ではないでしょうか。

 そもそもセキュリティ対策は、ファイアウォールやウイルス対策ソフト、IDSIPSなどを導入して終わりというものではありません。たとえばファイアウォールやIDS/IPSが“攻撃の可能性がある”通信を検知してアラートを出力した場合には、その通信の内容を詳細に確認し、本当に攻撃なのか、攻撃だった場合はどのような被害を受けたのかなどを調査する必要があります。とはいえセキュリティ機器の種類やその設定内容によっては、膨大なアラートメールが送信されるため、まともにはチェックしなくなるといった例は珍しくありません。

 それぞれの機器が出力するログの調査も重要です。オフィスに誰もいない深夜に、内部のクライアントPCが外部のサーバーと通信しているといったログがあれば、社内に侵入したマルウェアがデータを外部に送信している可能性が疑われます。しかしログをチェックしていなければ、このような危険な通信を放置することになり、情報漏えいを防ぐことができません。

 

セキュリティ人材の不足を補えるサービスとは

 このように、セキュリティ対策を適切に実施し、そして強化していくためには、単にセキュリティ機器を導入して安心するのではなく、それらを適切に運用してセキュリティレベルを維持する努力も求められます。しかしながら中小規模の企業の場合、セキュリティ担当者を新たに雇用したり、ゼロからセキュリティの専門家を育成したりするのは現実的に困難でしょう。そこで活用したいのがマネージドサービスです。

 具体的なサービスとしては、IBMの「IBM Managed SIEM」やラックの「JSOC マネージド・セキュリティ・サービス」、NTTコミュニケーションズの「WideAngle」などがあります。これらは、ファイアウォールやIDS/IPS、プロキシなどから出力されるログを分析し、その中から攻撃の兆候を発見するとユーザー企業への通知や危険な通信の遮断などを行うサービスです。このようなマネージドサービスを利用すれば、自社のリソースを割くことなくログの分析が可能になり、セキュリティレベルの向上につながるでしょう。

 

お悩み2:セキュリティ対策の範囲や優先順位の判断に迷っている

・セキュリティ対策の重要性は理解しているが、どこまで対策を講じればよいのか判断できない

・限りあるIT予算を有効活用するために、優先順位を付けて対策を検討したいが、その判断も難しい

リスクアセスメントで自社の現状を知る

 セキュリティ対策はある意味でいたちごっこであり、新たなサイバー攻撃を防ぐための対策が確立されると、それを回避する新たな攻撃手法が編み出されるということの繰り返しです。またセキュリティソリューションには数多くの種類があり、それらをすべて導入するということも現実的ではありません。

 このように難しい状況の中でセキュリティ対策を確立するためには、まず自社のリスクや脅威、攻撃に対する脆弱性を適切に見極める必要があります。これがリスクアセスメントと言われる作業であり、最近ではセキュリティコンサルティングサービスを提供している多くのITベンダーがリスクアセスメントサービスを提供しています。

 本来、具体的なリスクが分からなければ、その対策を講じることもできないはずです。しかし現実には、リスクを明確化せずにセキュリティ機器を導入しているケースが多く見受けられます。

 

コンサルティングサービスの活用も視野に入れる

 セキュリティ機器は製品によって提供される機能に大きな差があり、当然ながら価格も異なります。そのため、リスクアセスメントを行わずにセキュリティ機器を導入すれば、必要以上に高価な機器を購入して過剰投資となったり、自社のリスクを低減するために必要な機能がない製品を導入して対策漏れとなったりする恐れがあるのです。

 具体的にセキュリティ対策を講じる上では、専門家であるセキュリティコンサルタントの助けを仰ぐことも有効でしょう。セキュリティ対策の優先順位の設定や、導入すべき機器やサービスの選定において有益な助言を得られるはずです。

 なおサイバー攻撃は日々進化しており、一度対策を実施すればよいというものではありません。Webサイトや各種セミナーでの情報収集が欠かせないのはもちろん、定期的に自社のリスクやセキュリティ対策を見直すことも必要でしょう。

望まれるセキュリティ対策のロードマップ

 

お悩み3:現状のセキュリティ対策に自信が持てない

・現状のセキュリティ対策で本当に大丈夫なのか、自信が無い

・ECサイトを運営しているが、サーバーへの不正アクセスが怖い

マルウェア感染調査サービスなどで自社のレベルを把握する

 サイバー攻撃は次々と新たな手法が編み出されているため、現状のセキュリティ対策で本当に大丈夫なのかと不安を覚えるのは当然でしょう。そこでおすすめしたいのが、社内のクライアントPCがマルウェアに感染していないかを調査するサービスです。

 特に標的型攻撃で使われるマルウェアは、一般的なウイルス対策ソフトでは検知できないものが多く、我が社は大丈夫などと考えていても、実際には社内にマルウェアが潜んでいるということも十分に考えられます。そこでマルウェア感染調査サービスを利用し、そこでもし社内からマルウェアが発見されたのであれば、新たな対策が必要ということになります。

 インターネット上でECサイトなどのサービスを提供しているということであれば、脆弱性診断サービスの活用も視野に入れるべきでしょう。Webサーバー上で動作するアプリケーションやデータベースなどのミドルウェアに脆弱性があれば、それを利用して不正アクセスが行われ、顧客情報が窃取される恐れがあります。脆弱性診断サービスは、セキュリティの専門家が実際に攻撃を行うなどして調査を行うというサービスであり、サーバーの安全性を評価してもらうことが可能です。

 特にECサイトなどのサービスに利用しているサーバーへの不正アクセスは、個人情報漏えいなど重大なインシデントにつながりやすいため、脆弱性診断サービスの活用によるリスクの把握は欠かせません。

 

お悩み4:セキュリティ対策の重要性について経営層の理解を得られない

・セキュリティ対策の重要性は十分に理解しているが、経営層の理解が得られない

・なかなか予算が承認されないため、セキュリティ対策をアップデートできない

自社の現状や他社の事例を説得材料に使う

 経済産業省が「サイバーセキュリティ経営ガイドライン」を策定して公開したことなどにより、昨今では経営層にもセキュリティ対策の重要性は浸透しつつあります。しかしセキュリティ対策への投資は利益を生み出すものではなく、また製品やサービスによっては相応のコスト負担が発生することから、なかなか社内稟議が通らないことも多いようです。

 親会社や取引先からセキュリティ対策の強化を求められた、あるいは監督官庁からセキュリティに関する指針が提示されたなど、ある種の“外圧”があれば予算も獲得しやすくなりますが、外部に頼れないことも多いでしょう。そこでぜひ利用したいのが、前述したマルウェア感染調査サービスや脆弱性診断サービスです。これらによって把握した現状を経営層と共有し、必要なセキュリティ対策を実施していくという流れです。

 参考情報として同業他社の事例を確認することも有効でしょう。セキュリティ対策にゴールはないため、どこまで投資すればよいのかを判断できない難しさがあります。そこで同業他社の事例を一種の指針として示すことができれば、経営層もそれを基準に判断することができるというわけです。なお、こうした事例は一般に公開されているものが使えるのはもちろん、ユーザー会などで同業他社の情報システム部門と横のつながりをつくり、情報交換しておくといった取り組みも有効でしょう。

 

お悩み5:海外拠点のセキュリティレベルがバラバラでガバナンスが効いていない

・海外進出やM&Aで拠点が増えているが、それぞれのセキュリティレベルがバラバラ

・拠点ごとに個別にセキュリティ対策を行っていて、ガバナンスが効いていない

インターネットとの接点を一本化してセキュリティを強化

 海外の小規模拠点は個人向けインターネット接続サービスを使っていて、セキュリティ対策はウイルス対策ソフトの導入のみ。M&Aで合併した企業のセキュリティ対策はまったく把握できていない……。このような状況を放置すれば、いつ大きなセキュリティインシデントが発生しても不思議ではありません。たとえ国内本社のセキュリティが厳重であっても、脆弱な海外拠点を踏み台に本社に侵入されるといったことが考えられるためです。

 そのため、海外拠点や合併先の企業を含めてガバナンスを確立し、セキュリティレベルを統一していくべきです。そのためには現状を知ることが重要なため、それぞれの拠点や合併先企業のIT環境はどうなっているのか、どのようなセキュリティ対策が実施されているのかをまず把握しましょう。拠点数が多ければ膨大な作業になるため、海外に多くの拠点を持ち、拠点調査(サイトサーベイ)に対応できる外部ベンダーの力を借りることも検討すべきです。

 その上で前述したリスクアセスメントやマルウェア感染調査サービスなどを実施し、現状把握に努めます。しかし特に小規模な拠点では、そのすべてで個別にセキュリティ機器を導入して対策を図るのは負担が大きいでしょう。そこで検討したいのが、インターネットへの出入り口の一本化です。

 具体的には、クラウド上にインターネットへ接続するためのゲートウェイ(プロキシ)を構築し、各拠点はゲートウェイがあるクラウドにのみVPN経由で接続するという形です。このようにインターネット接続を集約すれば、セキュリティ対策を集中して実施することが可能になります。

インターネットゲートウェイのクラウド化/構成例

 ただし物理的な距離が離れていると、ネットワーク遅延によりWebサイトの表示が遅い、ファイル転送に時間がかかるといった弊害が生じる可能性もあります。その対策としては、Amazon Web Servicesの「Amazon Elastic Compute Cloud(EC2)」やNTTコミュニケーションズの「Enterprise Cloud」など、世界各地で利用できるクラウドサービスを利用し、北米と欧州、アジアなどといった地域ごとにゲートウェイを構築し、ネットワーク遅延を低減するといった方法があります。

 

各拠点のセキュリティ対策のコスト負担は事前に検討

 買収した企業の場合は、とりわけコミュニケーションが重要になるでしょう。たとえばリスクアセスメントや現状調査の結果から、各拠点・企業との違いを明確化し、その資料をもとにセキュリティ対策の改善を求めていくといった方法が考えられます。

 ガバナンスを確立していく中で問題となりやすいのがコストで、セキュリティ対策の強化に必要なコストをどう負担するかは検討のポイントです。当然ですが、コスト負担が増大するようであればなかなか理解は得られません。海外拠点や子会社などを含めたセキュリティ強化においては、こうしたコスト負担の問題も事前に検討しておくべきです。

 

セキュリティ対策の強化には経営層の理解が必要不可欠

 セキュリティ対策における悩みは多岐にわたりますが、適切に対策を講じている企業は総じて経営層がセキュリティ対策の重要度を理解していて、実務を担当する情報システム部門の裁量が大きいといった特徴が見受けられます。いずれにしても、経営層の意識改革は必要であり、現場にはセキュリティの重要性を伝える努力が求められるでしょう。

 具体的にセキュリティ対策を実施していく際には、自社の現状把握が肝心です。企業として何を守るべきか、保護すべき情報はどこにあるのかなど、アセスメントを通じて自社の情報資産を明確化し、その上で対策を検討していくことが大切です。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

このテーマについてもっと詳しく知りたい

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter