サイバー犯罪は、日々高度化と複雑化を続けています。守る側はそれに追いつくために新技術を取り入れ、最新の攻撃にも対応できる柔軟な仕組みを構築し、どんな脅威にも即応できるセキュリティ人材を組織内で育てるべきである。……というのは、一部の大企業でしか実現できない夢物語かもしれません。そんな「一部の大企業」ではない大半の企業が頼れる先として「マネージドセキュリティサービス」(MSS)があります。
MSSとはセキュリティ対策をアウトソースし、企業内に設置した機器の監視をしてもらうものです。特にセキュリティ人材が不足しがちな中堅中小企業において、レベルの高いセキュリティ対策を実現できるのが魅力といえるでしょう。
しかし「MSSに全て任せれば、プロの集団による的確で適切な対策が手に入る」と思ってしまってはいけません。丸投げでは最適解にはたどり着けないのです。それでは、何を考えておけばいいのでしょうか。
MSSを活用して最適なセキュリティ対応を実現するために考えなくてはならないことを1つにまとめたドキュメントが、2020年7月に公開されました。「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」です。
キーワードにいちいち耳が痛くなる必読書
MSS選定ガイドラインは、日本ネットワークセキュリティ協会(JNSA)の部会や日本セキュリティオペレーション事業者協議会(ISOG-J)、セキュリティオペレーション連携ワーキンググループなどがまとめたドキュメントです。MSSの利用を検討している方や、MSSおよびマネージドセキュリティサービスプロバイダー(MSSP)を選定している方に向け、どのような観点でMSSを選定すべきか、機能と提供形態を解説しています。
そもそもMSSとは、システムのセキュリティを確保するために人材や機器、技術を提供するサービスであり、企業が高度化するセキュリティ対策にプロの知識や経験を活用できるようにするための仕組みといえます。つまり目的は「セキュリティ対策の丸投げ」ではないのです。ガイドラインの冒頭文には、このように明記されています。
MSSは利用者のセキュリティ対策活動を補完するものであり、MSSだけでそのすべてを網羅することは想定されていない。意思決定は原則として利用者に求められ、MSSPはその決定に基づいて様々な支援を行う。(1.2.2.MSSで達成できること)
ここで重要なのが「意志決定は原則として利用者に求められ」という表記です。MSSPはセキュリティのプロではあるものの、組織の保持するシステムを理解しているのは利用者だけ。つまりMSSを活用するには、まず自社内のシステムとネットワーク、セキュリティの状況を把握していることが前提で、何らかのインシデントが発生した時にも、その意志決定は利用者が行う必要があるのです。
また、もう一つ注目しておきたいのが「導入段階で判断するべき」としている、この1行です。
MSSはシステムをセキュリティの側面から見た監視・運用サービスであり、MSSPへセキュリティ運用を外部委託する上で「何を」「誰から」「いくらかけて」「どのように」保護するのか、また、どこから先を「諦める」のか、または自組織で運用するといった判断が必要となる。(2.1. 導入企画)
「どこから先を『諦める』のか」。セキュリティのプロに頼めば何から何まで全てを守ってもらえると思いたくなりますが、全てを守るには膨大なコストが必要になります。コストは、多くの組織で「最も厳しいリソース」にあたるでしょう。つまりMSSを有効に活用するためには、「諦める」ことをしっかり定義する必要があるのです。それを明言している点において、本ガイドラインがいかに利用者に対して誠実に向き合っているかが分かります。
チェックしておきたい人気記事
MSSから受ける「インシデント通知」を選ぶ
利用者が理解しておくべきことがもう一つあります。それはMSSから来る「インシデントが発生しました」という通知の粒度です。MSSにはセキュリティ機器が発したアラートがそのまま届くサービスも専門のアナリストがアラートをかみ砕いてレポートするサービスもあり、それぞれで即時性や正確性、対応負荷が大きく異なります。
例えばセキュリティ機器のアラートがそのまま上がるサービスであれば、利用者がセキュリティ機器のダッシュボードで確認するのとさほど変わりません。むしろ利用者が自分でドリルダウンして詳細を確認したい場合、MSSを介する方が時間の無駄になるかもしれません。
一方で、アナリストの分析を含めたレポートを受け取れれば情報の正確性が上がり、対応負荷が下がるでしょう。ただし、アラート対応の即時性が犠牲になる可能性は上がります。どちらにもメリットとデメリットがあるため、利用者はこの特性を理解した上で利用するMSSを選定する必要があるでしょう。導入前の吟味はもちろん、導入後でも柔軟に変更できるような体制を整えましょう。
MSSの利用予定がなくても有効な「教科書」
MSSは、現在の複雑化した脅威に対抗する貴重な光明といえるもの。現時点では利用者側の組織にある程度の規模が必要ですが、遠からず多くの企業がMSSとともにシステムを運用する時代になると思っています。その前段階として、いつでもMSSに依頼できるような準備をしておくと良いでしょう。
このガイドラインにはMSSの選定ポイントだけでなく、保護対象とする資産や情報の定義を明示する必要性や、MSSへ開示するべき情報について記載されています。ポリシー作成や資産管理、ネットワークの現状把握などは、MSSを検討するか否かによらず、セキュリティ確保に必要なステップといえるでしょう。自社で対策するにしても、MSSに依頼するにしても、システムに携わる方や経営層の方々に、しっかりと参照してほしいドキュメントだと思っています。ぜひご活用ください。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。
関連記事
関連リンク
チェックしておきたい人気記事
"したい" - Google ニュース
August 11, 2020 at 05:51AM
https://ift.tt/31FH92Z
セキュリティを丸投げしたい! と思ってしまったときに見るべき指南書 - ITmedia
"したい" - Google ニュース
https://ift.tt/30GEsO4
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
Bagikan Berita Ini
0 Response to "セキュリティを丸投げしたい! と思ってしまったときに見るべき指南書 - ITmedia"
Post a Comment