セキュリティ人材不足を解決する“目から鱗”の方法
情報セキュリティ対策を考える際、「セキュリティに詳しい人材がいないから対策が進まない」などと考えてはいないでしょうか。それでは、いつまで経っても適切なセキュリティ対策を実施することはできません。大切なのはセキュリティのリスク管理業務の着実な遂行とそれを支える経営層の理解であり、これを実現することで社内でセキュリティ人材が育成され、セキュリティインシデントに強い組織を作ることができるのです。
セキュリティ人材がいないとセキュリティ対策は進まないのか?
「セキュリティ人材がいないので、セキュリティ対策が進まない」――このような嘆きをよく耳にします。事実、昨今の巧妙なサイバー攻撃を検知するには高度な専門スキルを有しますし、セキュリティ人材が不足しているというのは、日本や海外でも共通する認識であり、一企業・組織が解決できる課題ではないと思考停止に陥ってしまうのも仕方のないことだと思います。しかしながら、「セキュリティ人材不足」は当面続き、誰かが来る日を待っていても、状況は改善しません。あなたの企業・組織が万が一、情報漏洩事故を起こしてしまった場合、顧客や株主、取引先は、「セキュリティ人材がいないので、仕方がない」とは言ってくれません。
結論から言うと、セキュリティの専門知識がなくても、セキュリティ対策関連の多くの業務は進めることができます。目の前のセキュリティ業務を整理してみましょう。現時点において、セキュリティが管理できているか、関連する業務をチェックしてみてください。
一つ一つの業務は当たり前のことのように見えますが、多くの企業・組織において実質的に管理できておらず、PDCAが回っていないのではないでしょうか。これらは情報セキュリティのリスク管理において、大変重要度が高く、基本的な業務ですが、そのほとんどにおいて、セキュリティの専門的な知識が不要で、ITの知識さえあれば実施可能なものです。もし、手が付けられていない項目がある場合はすぐに着手すべきです。
企業に求められる
情報セキュリティのリスク管理における7つの業務
セキュリティポリシーは最新の脅威/組織の実態に合わせて見直されているか
セキュリティポリシーに合わせて、システムが導入/更新されているか
システム導入/更新時に脆弱性診断は実施されているか
導入されているソフトウェアのバージョンを管理できているか
最新の脆弱性情報にタイムリーに対処できているか
インシデント発生時の対処方法は整備されているか
セキュリティインシデントを検知する体制が整えられているか
一つ一つの業務は当たり前のことのように見えますが、多くの企業・組織において実質的に管理できておらず、PDCAが回っていないのではないでしょうか。これらは情報セキュリティのリスク管理において、大変重要度が高く、基本的な業務ですが、そのほとんどにおいて、セキュリティの専門的な知識が不要で、ITの知識さえあれば実施可能なものです。もし、手が付けられていない項目がある場合はすぐに着手すべきです。
そもそもセキュリティ人材とはどんな人のことを言っているのか?
上述した通り、セキュリティ対策関連の業務のほとんどは、セキュリティの専門知識がなくても遂行できます。ただ、専門知識やノウハウが求められる業務もあります。
では、どのようなスキルを有する人材が必要となるのでしょうか? Webアプリケーションのスペシャリストでしょうか? マルウェア対策のプロフェッショナルでしょうか? IPSのエキスパート? それとも、ISMSの権威?このように並べ立てても、かえって混乱するだけだと思います。必要なスキルセットを有する人材の明確化や人員数を導き出すにはまず、セキュリティを管理する業務を立ち上げ、改善する手順・仕組みを理解することから始めます。
セキュリティを管理する業務を立ち上げ、改善する手順・仕組み
-
経営層が強い意志を持ってセキュリティに取り組むことを明確に示す
- 組織として、業務を回すため、人材を育てるために一番重要なポイント
-
セキュリティを管理する業務を明確に定義
- 目的、役割、業務範囲
※業務範囲はスモールスタートも検討すべし
例:対象システムを絞る(公開システム/重要情報資産保有システム)
- 目的、役割、業務範囲
-
業務フローを整える
- フローの中で業務は細かく分類される
- 業務を実施するために必要となるスキルが見えてくる
▶セキュリティ人材に必要なスキルセットが見えてくる - スキル保有者を組織内で確保できない場合は、採用/アウトソーシングを検討
-
組織内人材で対応/チャレンジ可能な部分について業務量を考える/できることは自分たちで取り組み組織としてリスクを管理する
- スモールスタートでも組織内人材で継続的に対応可能な分野については、業務範囲を広げ管理を強固にする。
- 採用/アウトソーシングで対処する場合でも業務量を考える
▶セキュリティ人材として必要人数が見えてくる
※セキュリティは奥が深いので、全てをカバーすることはどのような組織でも不可能と認識する
-
セキュリティ管理業務がしっかり回っていることを経営層が定期的に確認し、関心を示す
セキュリティ対策の全てを企業・組織内のリソースのみで完結することは、ほぼ不可能
上述の「セキュリティを管理する業務を立ち上げ、改善する手順・仕組み」の検討において、必要なセキュリティ人材の具体像と人員数が見えてくると、企業・組織内の現在の人員には適した人材がいないことや新規雇用が難しい状況も明らかになってきます。冒頭申し上げたように、一般的な企業・組織において、セキュリティ人材の育成は行われておらず、日本全体においても人材不足だからです。そのような場合、その不足している部分だけを情報セキュリティの専門業者への外部委託やアウトソーシングによって補うことで、効率的にセキュリティ管理体制を構築することが可能となります。
企業や組織によって、外部委託が必要な業務はさまざまでしょうが、いくつかの例を挙げます。一つ目は、「セキュリティを管理する業務を立ち上げ、改善する手順・仕組み」自体の詳細な検討をするにあたって、セキュリティ的な観点での助言を求めることです。一般的にこのようなサービスは、「セキュリティ・コンサルティング」や「セキュリティポリシー策定支援」「リスクアセスメント」などと呼ばれています。
二つ目は、ITシステムにサイバー攻撃を許してしまう弱点(脆弱性)がないかを検査する「脆弱性診断サービス」です。この分野は、高度なスキルをもった攻撃者と同等かそれ以上の技術を有した人材でないと実施の意味がないため、定期的に、そしてシステム更改があったタイミングでチェックすることが必要です。
三つ目は、企業・組織に対するサイバー攻撃の監視・分析業務です。本業務は、外部からメールで添付されてきたり、インターネット上のWebサイトからダウンロードするファイルが新種のマルウェアではないかを解析したり、正常な通信にまぎれて悪意のある遠隔操作や情報の詐取が行われていないかのトラフィック分析・アラート分析をする高度な専門スキルが必要となります。このような業務を肩代わりするサービスは、一般的に「マネージドセキュリティサービス」と呼ばれ、セキュリティオペレーションセンター(SOC)を有する事業者にて提供されています。
こうしたセキュリティに関するさまざまな業務を支援するため、NTTコミュニケーションズでは幅広いサービスを展開しています。
まずプロフェッショナルによるコンサルティングを提供しているのが「WideAngleプロフェッショナルサービス」であり、豊富な知見を元にお客さまが抱えている課題の解決を支援します。また脆弱性診断サービスもあり、お客さまのICT環境における脆弱性のチェックや、Webサイトの改ざんの有無などの調査を行うことも可能です。
サイバー攻撃の監視や分析を支援するサービスとしては、「WideAngleマネージドセキュリティサービス」があります。こちらはNTTコミュニケーションズが世界各国に設置した「グローバルリスクオペレーションセンター(GROC)」において24時間365日体制で監視を行い、標的型攻撃など道の脅威に対抗可能な不正侵入対策などを行います。
このほか、安全なインターネット接続環境の構築を可能とするサービスとして、「セキュアインターネット接続機能(vUTM)」や「OCNセキュリティゲートウェイ」も提供しています。いずれもファイアウォールやIDS/IPS、アンチウイルスなどのセキュリティ機能をワンストップで提供するサービスであり、運用の負担を抑えてセキュリティ対策を強化することが可能です。なお「セキュアインターネット接続機能(vUTM)」はVPNサービスである「Arcstar Universal One」のオプションサービス、「OCNセキュリティゲートウェイ」はOCN回線と組み合わせて使うUTM機器をレンタル提供します。
IT環境における攻めと守りのバランスを取り戻す
IT を積極的に活用することが“攻め”であるとすれば、資産に対するリスクをどう管理するかが“守り”になります。事業を成長させるために攻めることは当然ですが、一方で守りがなければ大きな問題を抱え込むことにもなりかねません。
セキュリティ対策が十分でない企業・組織は、この“攻め”と“守り”のバランスを欠いている状態であり、大きなリスクを抱え込んでいます。この状況を是正するために、経営者の責任においてリスク管理に必要な環境を整えることが大切です。これを実現できれば、セキュリティ対策の強化につながる大きな一歩を踏み出せるでしょう。