【転載】セキュリティを丸投げしたい! と思ってしまったときに見るべき指南書

セキュリティを丸投げしたい! と思ってしまったときに見るべき指南書:

サイバー犯罪は、日々高度化と複雑化を続けています。守る側はそれに追いつくために新技術を取り入れ、最新の攻撃にも対応できる柔軟な仕組みを構築し、どんな脅威にも即応できるセキュリティ人材を組織内で育てるべきである。……というのは、一部の大企業でしか実現できない夢物語かもしれません。そんな「一部の大企業」ではない大半の企業が頼れる先として「マネージドセキュリティサービス」(MSS)があります。

ys7404_hankeiTOP.jpg
MSSとはセキュリティ対策をアウトソースし、企業内に設置した機器の監視をしてもらうものです。特にセキュリティ人材が不足しがちな中堅中小企業において、レベルの高いセキュリティ対策を実現できるのが魅力といえるでしょう。

 しかし「MSSに全て任せれば、プロの集団による的確で適切な対策が手に入る」と思ってしまってはいけません。丸投げでは最適解にはたどり着けないのです。それでは、何を考えておけばいいのでしょうか。

 MSSを活用して最適なセキュリティ対応を実現するために考えなくてはならないことを1つにまとめたドキュメントが、2020年7月に公開されました。「マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0」です。

キーワードにいちいち耳が痛くなる必読書

MSS選定ガイドラインは、日本ネットワークセキュリティ協会(JNSA)の部会や日本セキュリティオペレーション事業者協議会(ISOG-J)、セキュリティオペレーション連携ワーキンググループなどがまとめたドキュメントです。MSSの利用を検討している方や、MSSおよびマネージドセキュリティサービスプロバイダー(MSSP)を選定している方に向け、どのような観点でMSSを選定すべきか、機能と提供形態を解説しています。

 そもそもMSSとは、システムのセキュリティを確保するために人材や機器、技術を提供するサービスであり、企業が高度化するセキュリティ対策にプロの知識や経験を活用できるようにするための仕組みといえます。つまり目的は「セキュリティ対策の丸投げ」ではないのです。ガイドラインの冒頭文には、このように明記されています。

MSSは利用者のセキュリティ対策活動を補完するものであり、MSSだけでそのすべてを網羅することは想定されていない。意思決定は原則として利用者に求められ、MSSPはその決定に基づいて様々な支援を行う。(1.2.2.MSSで達成できること)
ここで重要なのが「意志決定は原則として利用者に求められ」という表記です。MSSPはセキュリティのプロではあるものの、組織の保持するシステムを理解しているのは利用者だけ。つまりMSSを活用するには、まず自社内のシステムとネットワーク、セキュリティの状況を把握していることが前提で、何らかのインシデントが発生した時にも、その意志決定は利用者が行う必要があるのです。

 また、もう一つ注目しておきたいのが「導入段階で判断するべき」としている、この1行です。

MSSはシステムをセキュリティの側面から見た監視・運用サービスであり、MSSPへセキュリティ運用を外部委託する上で「何を」「誰から」「いくらかけて」「どのように」保護するのか、また、どこから先を「諦める」のか、または自組織で運用するといった判断が必要となる。(2.1. 導入企画)
「どこから先を『諦める』のか」。セキュリティのプロに頼めば何から何まで全てを守ってもらえると思いたくなりますが、全てを守るには膨大なコストが必要になります。コストは、多くの組織で「最も厳しいリソース」にあたるでしょう。つまりMSSを有効に活用するためには、「諦める」ことをしっかり定義する必要があるのです。それを明言している点において、本ガイドラインがいかに利用者に対して誠実に向き合っているかが分かります。