増大するサーバー攻撃の中でも、近年特に目立つのが標的型攻撃と呼ばれるものだ。日本年金機構における大量の個人情報漏えいをはじめ、多くの企業や行政機関などでその被害が報告されている。こうしたサイバー攻撃に対する防御のポイントは、いかに早く発見するか、発見後いかに迅速に対応するかということ。そのためには、社内における対策チームの整備をはじめ多面的なセキュリティー対策が求められる。こうした取り組みを、専門的な立場からサポートしているのがIBMだ。IBMの提供する多様なセキュリティー・サービスの中には、企業の負荷を大きく抑えられるアウソーシングサービスも含まれている。
ただ、経営者やIT部門責任者からは「どのMSSPを選べばいいのか」という悩みの声も聞かれる。そこで、MSSP選定の10条件をまとめた。
セキュリティーのことは専門家に任せて
IT能力を戦略的な分野にシフトする
クラウド・コンピューティングの活用やモバイル端末の多様化などにより、企業のIT環境はますます複雑化しつつある。一方で、ITインフラや基幹システムの刷新など、大きなプロジェクトを抱えている企業も少なくない。
IT部門の負荷は高まるばかりである。しかも、経営層は情報セキュリティーに敏感になっている。日本年金機構に対する標的型攻撃で、100万件以上の個人情報が流出した事件は記憶に新しい。そのほかにも、個人情報や重要情報の大規模な漏えいが相次いで報じられており、経営としてリスクを最小化したいと考えるのは当然のことだろう。
こうした中で、セキュリティー対策の全部または一部をアウトソースする企業が増えている。受け皿となるアウトソーサーが、MSSP(Managed Security Service Provider)と呼ばれるセキュリティーの専門家集団だ。通常、24時間×365日体制で企業のIT環境を守り続けている。
企業がMSSPへの委託を選択する理由は様々だ。
まず、IT人材をより戦略的な分野に振り向けたいという経営ニーズがある。例えば、製造業ではIoTを活用した新サービスの開発が求められており、「売って終わり」から「売った後に稼ぐ」方向へのビジネスモデル転換を図ろうとする企業もある。小売やサービス業においても、デジタル・マーケティングのシステム構築など、IT能力を必要とする課題は多い。
そこで、セキュリティーの運用を専門家に任せようということ。多くの企業にとって、セキュリティー対策は差別化や競争力に直接つながる取り組みとはいいがたい。
しかも、セキュリティー対策技術の進展は著しく、高頻度でのアップデートが必要となる。世界のあちこちで、サイバー攻撃の新手法が次々に編み出されているからだ。
その新手法は闇のネットワークを介してやり取りされ、攻撃ツールや攻撃サービスがブラックマーケットで取引されている。巧妙化する「攻める技術」にキャッチアップし、あるいは先回りして自社のIT環境を守り続けるのは容易ではない。
サーバー攻撃の目的はお金ということもあれば、サイバー諜報という場合もある。前者だとすれば、攻撃者はそれなりの費用対効果が見込めるなら投資を惜しまない。後者の場合は目的次第だが、青天井の予算が用意されることもあるかもしれない。
念のために付言すれば、「費用対効果の観点から中小企業は狙われない」と考えるのは間違いである。実際、中小企業が狙われるケースは少なくない。
中小企業の持つ個人情報などが窃取されることもあれば、大企業への踏み台として利用されるケースもある。高度なセキュリティー対策を実装している大企業の社内ネットワークに直接入り込むのは難しいので、比較的ハードルの低い取引先の中小企業を経由して侵入しようというわけだ。
もしも、自社が踏み台にされて顧客企業に被害が及んだとすれば何が起きるだろうか。従来通りの信頼関係が維持できるとは考えにくく、取引に影響が及ぶ可能性もあるだろう。
セキュリティー分野を越えた
IT全般に対する知識と経験が必要
では、企業はどのような基準でMSSPを選ぶべきだろうか。自社のセキュリティーを任せる事業者を選定する際には、慎重な検討が求められる。以下、MSSP選択の10条件を説明したい。
第1に、セキュリティー・サービスに関する幅広いポートフォリオ。企業の持つ多様なシステムの中には、絶対に守るべき情報資産もあれば、比較的重要度の低いものもある。したがって、こうしたニーズに対応できるサービスポートフォリオを持ち、自社のビジネス及びIT環境にマッチしたサービスを提供できるMSSPを選ぶべきである。
第2に、評価の高いセキュリティー・インテリジェンスと調査専門家。先に触れたように、攻撃者ネットワークはグローバルに広がっており、次々に新手法が開発されている。これに対抗するだけでなく、プロアクティブな防御を実現するためには一流のエキスパートを多数用意する必要がある。
第3に、卓越した企業評価。MSSPの顧客満足度実績や顧客の再契約率などは、選定における客観的な尺度になりうる。また、MSSPが公表している調査レポートを精査すれば、専門能力のレベルを評価することができるだろう。加えて、MSSPがどのような将来ビジョンを持ち、それに近づこうとしているのかというロードマップを確認する必要がある。自社のセキュリティー対策の方向性との整合性を判断するためである。
第4に、可視化とインテリジェンスを向上する強力なWebベースの管理ツール。MSSPにアウトソースしたとしても、IT部門としては自社セキュリティーの状況を確認しなければならない。そこで、必要に応じて、必要な情報にアクセスできるような管理環境が求められる。セキュリティーの全体像を素早く把握するためには、Webベースの単一コンソールで管理できるツールが望ましい。
第5に、高度なバックエンド・テクノロジー。例えば、IT部門が管理ツールを使ってアクセスする環境をセキュアに維持するため、あるいは分析や集計によりセキュリティーを可視化するためには、一般的なセキュリティー技術を越えた高度な知見やノウハウが必要。MSSPにはセキュリティーのエリアを越えたIT全般に対する深い理解と経験が欠かせない。
第6に、国や都道府県、業界の各規制に対応したワンストップ・ソリューション。個人情報や決済情報、購買履歴などの扱い方には、業界固有の規制が設けられている場合がある。また、都道府県単位で規制が異なることもある。こうした規制に適合し、業界標準のセキュリティー対策を提供しているかどうか。また、セキュリティーやプライバシーに関して、MSSP内部できちんとした教育プログラムが実施されているかという点も確認したい。
第7に、セキュリティー・インフラに関する幅広い専門知識。IT環境を守り抜くためには、インフラ全体に対する知識と経験が必要だ。MSSPはハードウエアとソフトウエア、データセンター、ネットワークそれぞれの分野において求められるセキュリティー要件、ベストプラクティスを知悉していなければならない。
世界10拠点のSCOを拠点に
24時間×365日、顧客のIT環境を守る
第8に、セキュリティー・デバイスのマルチベンダー・サポート。MSSPへのアウトソーシングに際して、現行のセキュリティー機器から別の機器への切り替えが求められる場合がある。「ウチは現行の機器をサポートできません」というわけだ。これでは、無駄にコストをかけることにもなりかねない。選定に際しては、MSSPに対して管理認証を取得しているデバイスのリストの提出を求めるとよい。
第9に、柔軟で保証されたパフォーマンスベースのサービスレベルの合意。一般に、自社の技術やサービスに自信と実績を持つMSSPは、自分たちにとっては厳しい(顧客にとっては好ましい)条件のSLA(Service Level Agreement)を用意している。SLAの内容を吟味するのは当然だが、価格体系にも注意が必要だ。固定価格、固定スコープのサービスが望ましい。
第10に、財政面での安定。MSSPが多数の顧客に対して高品質のサービスを提供し続けるためには、SOC(Security Operation Center)への設備投資、優秀な人材確保などが欠かせない。長期にわたる継続的な資金需要に対応できるだけの財政基盤、安定したビジネスモデルを持つMSSPを選ぶ必要がある。
以上、MSSPを選ぶ上での10の条件を見てきた。これらをすべて備えたMSSPは少ない。少ない中の1つがIBMである。
セキュリティー分野のみならず、ITに関するIBMの幅広い知識と経験については改めて述べるまでもないだろう。クラウドやモバイルといった新しいエリアのセキュリティー対策にも積極的な取り組みを続けており、顧客のIT環境をトータルにカバーする能力を維持、強化している。
IBMのセキュリティー専門家は世界10拠点(うち1カ所は東京)のSOCに配置され、顧客企業のIT環境を24時間×365日体制で監視するとともに、1日当たり150億件のセキュリティーイベントを分析している。その詳細は毎年発表される調査レポートとして公表されており、世界中のセキュリティー専門家、ITマネージャーたちに参照されている。
サイバー攻撃がそうであるように、セキュリティー対策に国境はない。IBMのグローバルリソースに支えられたマネージド・セキュリティー・サービスを導入する日本企業は着実に増えているようだ。
「マネージド・セキュリティー・サービス・プロバイダーの選択」
全文資料ダウンロードはこちらから
関連資料1
「IBM 2015 サイバー・セキュリティー・インテリジェンスの指標」
IBMのマネージド・セキュリティー・サービスは、世界100カ国以上に広がる顧客企業をサポートしている。そうした顧客の情報システムを常時モニタリングし、攻撃への防御、プロアクティブな対策を提供している。
顧客のIT環境に設置された8000台を超えるセキュリティー機器からは、日々様々な、そして膨大なイベント情報が世界10カ所のSOCに送られてくる。その1年分を収集・分析した結果は、レポートとして翌年公表されている。2015年のレポートは、2014年の動向について「インターネット崩壊の年」と表現している。
端的な例は、広く普及しているアプリケーションの脆弱性が10年以上放置され、悪用されていたことが判明したことだ。こうした危機的な状況を、経営者やIT関係者はまず認識する必要がある。レポートではサイバー攻撃の傾向や具体的な手法にも触れつつ、セキュリティー対策について様々な示唆を提供している。
資料のダウンロードはこちらから
関連資料2
「IBM Qradar セキュリティー・インテリジェンス:価値を裏付ける証拠」
セキュリティー意識の高い企業の間で、いまSIEM(Security Information and Event Management)が関心を集めている。SIEMを直訳すると「セキュリティー情報とイベントの管理」。
企業システムの各所から集めたログ情報をもとにセキュリティー監視を行うとともに、サイバー攻撃などの脅威に対してリアルタイムの検知・防御を行うソリューションだ。
「IBM Qradar」は次世代SIEMとして注目されており、世界中の企業への導入が進んでいる。Ponemon Instituteが実施した本調査は、各企業におけるセキュリティー状況やSIEMの選定理由などを、エグゼクティブやディレクターなどにヒヤリングした結果をまとめたもの。
その目的の1つは、IBM Qradarと他のSIEMプロバイダーの提供価値を比較することである。なぜ、多くの企業がIBM Qradarを選ぶのか。その理由が分かるはずだ。
資料のダウンロードはこちらから
<PR>