セキュリティ運用とは?重要性とサービスの内容、選び方について解説
近年サイバー攻撃は巧妙化し、第三者から知らされるまで侵入に気づかないケースも見られます。情報流出や生産停止に追い込まれ、早期に復旧できない事態も発生しています。
安定的な事業運営のために、DX化とセキュリティ運用は一体的に捉える必要があるでしょう。 セキュリティ運用の重要性と内容、選び方について解説します。
セキュリティ運用とはITシステムの安定的な運用
セキュリティ運用とは、企業のITシステムがダウンすることなく、継続的に事業運営できるように管理することです。
ITシステムが十分なセキュリティを確保するためには、ITシステムそのものに脆弱性がないことは当然ながら、適切な運用を行う組織体制や人材の育成がカギとなります。
セキュリティ運用は高度な知識・経験が必要です。企業が事業活動の延長線上で対応することは難しいといえるでしょう。
そのため、専門家へのアウトソーシングが検討されます。
セキュリティ運用の重要性
セキュリティ運用は、ツールの導入がファーストステップになりますが、導入したから安全とはいえません。運用方針や組織体制を整えることが重要です。 犯罪者による新しい攻撃手法や社内のリスクに目を向け、脆弱な組織にならないように備える必要があります。
巧妙化するサイバー攻撃への備え
近年、顕著になっているサイバー攻撃に「ランサムウェア」と「標的型攻撃」があります。
ランサムウェアはRansom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。
システムに潜入してデータを暗号化し、使用できなくしたうえで、復旧と引き換えに身代金を要求するという悪質なソフトウェアです。
不特定多数へのランダムな攻撃から、最近では特定の企業や組織を狙った標的型攻撃に変化してきており、戦略的なビジネスとして成立しています。
このような攻撃に対応するセキュリティソフトを導入することはもちろん、外部からの不正な誘導を担当者レベルでチェックするなど基本的な備えが必要です。
情報漏洩リスクへの対策
情報漏洩とは機密情報や個人情報が外部に流出することを指し、企業の利益や個人のプライバシーが侵害される危険性があります。
流出のリスクとして次のようなきっかけがあります。
- メール誤配信などデータの取り扱いミス
- 従業員による意図的な持ち出し
- マルウェアなどのサイバー攻撃
セキュリティソフトはサイバー攻撃には有効なものの、従業員のミスや意図的な持ち出しには無力です。 テレワークやクラウド利用におけるリスク対策をマニュアル化し、社内で周知徹底しましょう。
従業員のリテラシー向上が情報漏洩リスクを低減させます。
セキュリティ運用の課題
セキュリティ運用を実効性のあるものにするには、概ね次のような課題があるでしょう。
- セキュリティ機器の適切な運用
- セキュリティ部門の設置と人材の確保
- 導入・保守・教育含めた費用対効果の把握
運用面では、機器やソフトウェアなどのツールと、それらを取り扱う組織や人材の2つの側面からの対策が重要です。
専門家へのアウトソーシングが前提の場合、相互の連携と信頼関係の維持に努めましょう。
セキュリティ運用組織の種類
セキュリティ運用組織は、ITシステムの監視や障害対応に特化した組織で、高度なスキルを持つ専門家が常駐して運用します。
専門分野や対応範囲によって次のような種類があります。
CSIRT(Computer Security Incident Response Team)
CSIRTはインシデントが発生した際に被害を最小限に抑えつつ調査と復旧を行い、再発防止策の提案をするなど幅広く対応します。
比較として、SOCが監視と分析に重点を置くのとは異なります。
事業活動や企業価値を守ることを目的とし、従業員と関係者による人的脅威への対応や、自然災害などの脅威にも幅広く対応します。
SOC(Security Operations Center)
SOC(ソック)とは、ネットワークを24時間365日監視する組織です。
サイバー攻撃の際にリアルタイムで検知して分析、報告を行うことが主な業務となります。
報告や対処を迅速に行うため、SOCは社内に置くのが理想です。
ITシステムを管理している情報システム部門とは別の組織として設置します。
企業内で人材やノウハウを持っていない場合は、社内での運用を外部ベンダーに委託することも可能です。
NOC(Network Operations Center)
NOC(ノック)もネットワークの監視を行いますが、パフォーマンスや障害の監視に重点を置いているため、対象は必ずしも外部からの脅威だけに限りません。
たとえば急激なトラフィック上昇によってネットワークのパフォーマンスが低下した場合、改善するために必要な対策を講じます。
NOCはネットワークの異常検知と障害対応を行い、ITシステムの安定性・健全性を確保することを主な業務とする組織です。
セキュリティ運用サービスの内容
セキュリティ運用組織によって提供されるサービスがセキュリティ運用サービスです。
組織が行う基本的な業務について、SOCとCSIRTの例を挙げて概要を紹介します。
セキュリティ診断
セキュリティ診断はリスクマネジメントの一環として、システムのセキュリティ対策の効果をチェックするとともに、脆弱性の指摘と対応策の提案を行うサービスです。
システムやネットワークを構成する機器やOS、アプリケーションに対して疑似的な攻撃を仕掛けて脆弱性を発見するという手法がとられます。
アラート監視
アラート監視はSOCの基本となるサービスで、24時間365日、絶え間なくネットワークとシステムを監視。セキュリティインシデントの原因となる脅威を検知し、アラートで関係者に知らせます。
同時に、問題のあるシステムをネットワークから隔離するなどの初期対応を実施します。
ログ解析
ログ解析とは、ネットワーク機器やサーバーOS、アプリケーションやデバイスが記録している各種のログから情報を収集し、分析することです。
さらに原因を特定して状況を報告し、解決に導きます。
ログはあらゆる挙動を記録しているため、分析の結果として社内の従業員による不正アクセスなども検出可能です。
ヘルプデスク
セキュリティヘルプデスクは、セキュリティ運用に関する社内対応を行うサービスで、次のような支援を行います。
- 情報システム部門や社内ユーザーからの問い合わせに対応
- 社内教育・研修のサポート
- セキュリティシステムの導入支援
- セキュリティ運用のコンサルティング
- インシデントの報告までの窓口業務
ミスや不正など、人的な脅威を低減させるための活動が特徴です。
インシデントの報告
インシデントの検知後、社内のシステムと業務への影響を最小限に抑える対策を実施し、関係者への報告を行います。
さらに詳しい調査を進めて再発防止策をまとめ、IPA(情報処理推進機構)や警察など関連省庁への届出や、自社Webサイト・マスメディアへの発表などの対応を実施します。
セキュリティ運用サービスを選ぶポイント
セキュリティ運用サービスを選ぶ際には、次のようなポイントを押さえる必要があるでしょう。
- 運用対象が明確
- 自社が必要とする機能やサービスが揃っている
- 費用対効果が期待できる
- 監視・連絡体制が充実
- 自社と類似の企業での実績がある
- 担当するメンバーのスキルに問題がない
セキュリティ組織が導入するシステムの機能や、組織の実績・スキルなど運用体制までを総合的に確認したうえで、導入を決めることが重要です。
インシデントへの対応は、迅速なコミュニケーションが求められます。セキュリティ組織と自社窓口との連携に不安の生じることがないよう、事前によく協議しましょう。
まとめ
セキュリティ運用の目的は、インシデントが発生した際に被害を最小限に食い止め、事業運営が停滞しないような対応と、再発防止を行うことです。
また人的なインシデントが発生しないような日常の教育活動も重要です。
セキュリティ運用組織を立ち上げる際は、アウトソーシングを検討しましょう。
クロスクラウドのIT支援チームサービス「Fast Team」は、社内IT環境で日常的に発生する課題やトラブルの解決を、専門のプロフェッショナルチームが支援します。
- ITトラブル対応、調査
- 技術調査
- 業者選定支援
- セキュリティ情報提供 など
