専門家に任せる? 内製で進める? セキュリティ強化のための最適なリソース配分とは
サイバー攻撃の高度化・巧妙化により、企業へ要求されるセキュリティの基準が高まっています。社内の人的リソース不足から、セキュリティの内製化が難しい企業は多いでしょう。その場合、一部の領域は外部の専門家へ任せる必要が生じます。では、どこまで外部の専門家へ任せるべきか、どのように判断すればよいのでしょうか。企業が直面するセキュリティ強化の背景と、外部の専門家をどのように活用すればよいのかを解説します。
1.いま企業が直面するセキュリティ強化の現実
サイバー攻撃や情報漏えいなどの事件が頻繁に報道されるようになり、顧客から企業に対するセキュリティへの要求水準は年々高まっています。しかし、セキュリティの知見を含めた社内の人的リソース不足から、要求に応えることが困難な企業は少なくありません。いま企業が直面している、セキュリティ強化の現実を見ていきましょう。
1-1.増え続ける「やるべきこと」と情報システム部門の限界
人的リソース不足の背景として、サプライチェーンを構成する取引先企業に対するセキュリティ基準の強化があります。こうした基準に従わなければ、仕事を受注できなくなるリスクがあるため、取引先企業も対応を余儀なくされ、自社のセキュリティ対策にこれまで以上のリソースを割く必要が出てきています。また、政府や業界団体が定める各種ガイドラインの遵守が求められるケースもあります。更に、クラウド化やテレワークの進展によるIT環境の変化及び、サイバー攻撃手法の高度化により、従来の対策だけでは不十分となるなど、企業が取り組むべきセキュリティの範囲は拡大しています。
ところが、多くの企業では、こうして拡大したセキュリティの範囲に対応するための専門知識や人材が不足し、十分な体制ができていません。すると、限られたリソースの中で、該当部署(情報システム部門など)が本来業務と並行してセキュリティ管理を担うことになります。その結果、体制が不十分なまま、増え続けるセキュリティ要件に対して優先順位を考える余裕もなく、場当たり的な対応に終始してしまうケースも少なくありません。このままでは、優先順位が高いはずの対応が放置され、重大なセキュリティインシデントを招くリスクが高まる一方です。
1-2.自前主義で進めるべきか?
セキュリティ領域をすべて自社で管理しようと考える企業は少なくありません。実際、自社で管理すれば、社内にスキルが蓄積される、外部委託コストを抑えられる──といったメリットがあります。
しかし、セキュリティは専門性を要する領域であり、一つの誤った判断が致命的な結果につながるリスクもはらんでいます。特に、リスク評価や制度設計など初期の判断を誤れば、深刻な影響を及ぼしかねません。
専門性を要する要因として、セキュリティに関する情報は日々更新されるため、それに追いつき、常に最新の脅威や対策を把握しながら自社の管理に反映していく必要があります。このような対応の継続は、リソースに限りのある体制であれば容易ではありません。
こうした状況を踏まえると、セキュリティ専門の要員が十分な人数の体制を、自社の従業員だけで確立できなければ、自前主義は現実的ではないといえるでしょう。リソースに限りがある体制において重要なのは、自社で担うべき領域と、外部の専門知見を活用すべき領域を明確に分けることです。限られた人材・予算で最大限の効果を引き出すためにも、「全部自前でやる」ことを目的化せず、柔軟で実効性のある体制を構築することが、必要なセキュリティを確保する近道です。
1-3.外部の活用にもパターンがある
セキュリティ管理体制の強化を検討するうえで、外部の力をどこまで活用するのかは、大きな判断ポイントです。外部の活用には大きく「アドバイザリ型」「作業支援型」「フルアウトソース型」の3つがありますが、実際には企業の状況に応じて、これらの分類は明確に線引きできるものではありません。多くの現場では、内製と外注の間にあるグラデーションの中で、折衷的なアプローチがとられています。
アドバイザリ型は、外部の専門家から助言や情報提供を受けながら自社の体制で対応する方式です。月次などの定例会ベースで進め、インシデント発生時には臨時で支援する、などの要件が一般的ですが、テーマを絞ったアドバイザリの範囲にする等、様々なパターンがあります。最新の動向や他社事例を踏まえた取り組みが可能となるため完全な内製よりセキュリティの管理品質の向上も見込まれますが、アドバイスを受けての対応をする自社の人的リソースが必要です。
作業支援型は、アドバイザリの要素に加えて一定範囲の作業まで外部リソースを活用する方式です。定常業務以外の新たな取り組み(例.CSIRT整備、ネットワーク刷新時のペネトレーションテスト)や、大幅な見直し(例.セキュリティ管理体制再構築、ゼロトラスト対応に向けたネットワークアセスメント)の際に期間限定で採用することが多く、外部の知見が得られるだけでなく一時的な作業負荷の増大を吸収できる、バランスがとれた方法です。プロジェクト支援の形式で、定例会ベースで進めることが一般的ですが、作業量が多い場合は要員が常駐する等、様々なパターンがあります。ただし、定常業務化に向けて内部の要員もプロジェクトの作業にある程度参加する必要がある等、一定の社内リソースが必要であり、アドバイザリ型より費用も高くなる傾向があります。
フルアウトソース型は、セキュリティに関する大きな経営判断より下の実務を極力外部に任せる方法で、専門性の高いPM以下の運用支援チームへ定常的に外部委託をするなどの体制が一般的です。自社にセキュリティ専門の要員が不在でも高い管理品質が実現されますが、ノウハウが社内に蓄積されにくく、作業支援型より費用も高くなる傾向があります。
以上、分かりやすさのために類型的に整理しましたが、重要なのは、自社にとってどこを自前で行い、どこを外部に任せると最も効果的かを見極めることです。セキュリティは「自社ですべてやるか、外注するか」の二択ではなく、「どう組み合わせるか」という設計の問題と捉えることで、より現実的かつ持続可能な体制が確立されます。
2.外注する範囲の整理
いまやほとんどの企業が、サイバーセキュリティに取り組まなくてはならない時代となっています。しかし、すべてを自前で対応する必要はなく、外部の専門家を活用することで適切なセキュリティ管理が可能です。では、外部の専門家を活用する領域を、どのように整理すればよいのでしょうか。
2-1.セキュリティ要件の解釈と整理
セキュリティに外部のリソースを活用する場合、領域整理の出発点は、「自社に求められるセキュリティとは何か」を正しく理解することです。たとえば、業界ガイドラインへの対応や、取引先・顧客が求めるセキュリティ要件など、外部から課される基準を洗い出し、事業の特性に照らしてどのような対策が必要かを判断しなくてはなりません。
このプロセスで重要なのは、要求される要件を「過不足なく」捉えることです。必要な対策を実施しなければ大きなリスクが残りますし、過剰な対策を講じればコストが膨らみ、場合によっては取引先や顧客にまで不要な負担をかけてしまいます。
加えて、自社にとってのリスクを把握する「リスクアセスメント」も欠かせません。攻撃手法のトレンドや最新の脅威、脆弱性の情報など、広範な知見に基づく判断が求められる分野であり、判断ミスは大きなリスクの見逃しにつながります。
2-2.セキュリティポリシー策定による体制整備の一環としての整理
次に、先に理解した「自社に求められるセキュリティとは何か」を踏まえて、「自社で目指すべきセキュリティとは何か」を組織文化や業務プロセスを理解したうえで整理し、自社に適したセキュリティポリシー策定と整合した体制を描きます。
目指すべきセキュリティのための管理体制、実現すべき機能を、次の4点に整理します。
要員が担う業務を見直す場合、スキルアンマッチやモチベーションの問題等、細かくは色々とありますが、まずはべき論で考えることが、整理を進めるポイントです。
このような整理は、外部の専門家からアドバイスを受けつつ進めることが近道となるでしょう。
2-3.外部リソースを活用する業務例
例えば、攻撃の監視やログの分析、必要に応じての監査といった、専門性が高いうえに負荷も大きい業務は、外部リソース前提の領域として整理する場合があります。
ログの分析や監査などのような膨大な情報を読み解き、具体的な行動に落とし込む業務には経験が欠かせません。そのため、将来的に内製化を考えていたとしても、経験のある内部要員が不在の場合、まずは外部専門家のサポートを受けながら運用する方法が望ましいでしょう。
外部の専門家へ委託してセキュリティ体制の構築から運用まで、すべてを任せてしまうこともできます。しかし、将来的に内製化を考えているのであれば、外部のサポートを活用しながら、社内リソースの育成を段階的に進める「ハイブリッド型」のアプローチが良いでしょう。これは自社のセキュリティ力を高めていくための戦略的な投資でもあります。
3.外注すべき業務に対応する、GSXのソリューション
いずれは内製を目指していたとしても、経験がない領域のセキュリティへの取り組みは専門家によるサポートが欠かせません。サイバーセキュリティを専門としているGSXでは、多くの企業が抱える課題を解決するソリューションやサービスを提供しています。ここからは、新たな領域のセキュリティに取り組む企業に適した、GSXのソリューションを紹介します。
3-1.専門家の知見でリスクを可視化「リスクアセスメントサービス」
自社に必要なセキュリティを見極めるには、リスクアセスメントが有効です。「リスク可視化支援」は企業のセキュリティ状況を、GSXの経験豊富なコンサルタントが調査・評価し、影響の高いリスクや対応の優先順位、対応方法を報告・提言する、リスクアセスメントサービスです。
このサービスの大きな特徴は、セキュリティに精通した人でなければわからなかった調査結果を、誰にでもわかりやすく把握できる報告書にまとめることです。これにより、自社のセキュリティ対策に何が足りていないかが把握でき、何から取りかかるべきか判断しやすくなります。
自社の状況を客観的な視点で見られるため、「自社に求められるセキュリティとは何か」の取りかかりとしてご利用ください。
3-2.目指すべきセキュリティと必要な体制を設計「ポリシー整備支援サービス」
「自社で目指すべきセキュリティとは何か」を明確化し、従業員が一貫した適切な行動を取るには、セキュリティポリシーの整備が必要です。しかし、セキュリティポリシーを形だけ整備しても形骸化する例は多く、ある程度経験があってもゼロから策定するにはかなりの手間がかかります。
GSXの「情報セキュリティ文書雛形パッケージ」は、そういったセキュリティポリシーの整備をサポートするサービスです。セキュリティの基本となる文書群の雛形を提供し、かつ経験豊富なコンサルタントのサポートを受けることで効率よく効果的なポリシー整備が可能になります。
3-3.専門人材が現場課題に対応「セキュリティSES」
新たな領域のセキュリティを自社で運用するには、セキュリティ人材やノウハウが不足しているため、すでに知られているセキュリティリスクを見落としてしまうおそれがあります。特にサイバー攻撃が巧妙化・高度化しているいま、リスク要因はできるだけ排除しておくことが大切です。まずは、セキュリティのスキルを備えた人材を、即戦力として確保することが近道です。
GSXの「セキュリティSES」は、そういったセキュリティに取り組む企業に対して、経験豊富なセキュリティ人材を提供するサービスです。これにより社内要員が未経験なことにも、必要なタイミング・期間で柔軟に対応できます。また、社内要員がセキュリティスキルを獲得できる、教育講座の提供も行っています。
3-4.24時間365日体制の「MDR(エンドポイント保護)サービス」
端末やサーバーといったエンドポイントを狙ったサイバー攻撃が高度化しているなか、さまざまなセキュリティソリューションの導入が進んでいます。しかし、導入はしたもののアラートの対応や運用のノウハウ含めたリソースが不足し、有効に活用できていない企業は少なくありません。
GSXの「エンドポイント保護サービス(MDR)」はCrowdStrike Falconを導入してエンドポイントを24時間365日監視し、アラート発生時には解析チームが対応するマネージドサービスです。これにより、必要な人的リソースの不足があっても、適切なエンドポイントの保護を実現できます。
まとめ:自社にとって最適な“分担”が、セキュリティ強化の第一歩
セキュリティはすべてを内製することが正解とは限らず、また何もかも外部へ委託すればよいというものでもありません。重要なのは、自社の体制や課題に合わせて、自社で担う領域、外部の専門家へ任せる領域を整理することです。
そのため、自社のセキュリティ状況を正確に把握し、何が求められていてどこまで目指すべきか、セキュリティポリシーと合わせて明確化する必要があります。GSXではリスクの可視化からポリシー整備、運用支援、監視対応までを一気通貫でサポートする各種サービスを提供しています。持続的なセキュリティ対策を適切に進めるため、ぜひGSXへご相談ください。
GSXのセキュリティアドバイザリサービスの資料はこちらから関連情報
計画的なサイバーセキュリティへの取り組み方と適切な予算の確保
ランサムウェアによる企業への身代金要求など、サイバー攻撃による被害の報告が相次いでいます。企業にとってサイバーセキュリティへの取り組みは、ますます重要な課題となっています。ただし、セキュリティの脆弱な部分を特定して対策を立て、適切なセキュリティ予算を確保することは簡単ではありません。サイバーセキュリティは直接的な利益を生み出しませんが、IT活用のリターンとのバランスで対策投資を考えることが重要です。本記事では、将来を見据えたサイバーセキュリティ対策の計画方法や、そのための予算確保における重要なポイントについて解説します。
企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
世界中の企業がランサムウェアによるサイバー攻撃を受けています。攻撃者は企業の脆弱性を悪用して侵入、ランサムウェアでシステムの情報を暗号化し、身代金を要求します。要求を断ればシステムを復旧できないだけでなく、盗んだ情報を公開すると更なる脅迫を行うこともあります。ランサムウェアの脅威は、日本も例外ではありません。2024年には出版・インターネットコンテンツサービスを提供する大手企業が被害にあい、大きなニュースになりました。それ以前にも、名古屋港、トヨタ自動車の関連会社などにおいて深刻な被害の発生が近年相次いでいます。これらの事例を紹介しつつ、どのように対策・対応すべきかを考えていきましょう。
セミナー・イベント
【GSX主催ウェビナー】
中小企業向けISO/IEC 27001:2022(ISMS)取得のポイント~取得時に最も工数がかかる”セキュリティ文書作成”を支援するGSX最新版オリジナル文書テンプレートのご紹介~
開催日時:2024年2月16日(金)11時00分~11時50分
【GSX主催ウェビナー】
工場セキュリティの確保は経営課題!抑えておくべきポイントとは?~製品のライフサイクルにおけるセキュリティを考えていくための視点~
開催日時:2024年2月2日(金)11時00分~11時50分
【網屋/GSX共催ウェビナー】