概要
パロアルトネットワークスでは昨年、セキュリティ運用に関する情報交換の場として企業のCSIRTご担当者様による座談会を東京と大阪で計6回開催しました。製造業、金融、ハイテクなど様々な業種からのべ31社の参加者により企業がかかえる課題や困難をいかに克服したかについて活発な議論が行われました。弊社は中立的なオブザーバーとして参加させていただき、参加者の議論を興味深く聴講する中で、いくつか共通の課題があることがわかりました。本稿ではそのなかから「経営層とのコミュニケーション」、「ガバナンス」、そして「監視業務」の3つについて取り上げます。
経営層とのコミュニケーション
ほぼすべてのCSIRTがインシデントの内容や発生数および対応時間、セキュリティ施策などについて年2回から4回の定期的な報告を経営陣に対して行なっています。セキュリティ担当者はこうした定期的な報告やその他のコミュニケーションを通して自社の経営層のセキュリティに対する姿勢に触れています。
参加企業の中には「経営陣のセキュリティに対する意識が高く、積極的に関わってくれている」とした会社がいくつかありました。こうした組織のCSIRTの担当者からは明確な目的と権限、予算を持って日々の業務を行えている様子が伺えました。一方で、「経営陣の当事者意識の低さが気になる」という声も多く聞かれました。例えばセキュリティ担当がマネージメント層に対して問題提起を行った場合、話は聞いてくれるがなかなか理解が得られない、といったことが共通の経験談として繰り返し出てきました。そうした苦労を重ねる中で、セキュリティ施策に対する経営者の理解を得るための工夫が共有されました。ある会社ではセキュリティ事故が発生した場合の対応マニュアルに、組織的な役割と技術的な対処だけでなく、インシデントの重要度によって経営層による記者会見を行うことを明記したそうです。これはサイバーセキュリティが経営課題であることを改めて認識してもらい、経営陣の当事者意識を高めるのに有効だったようです。
「経営層からセキュリティ投資の妥当性について説明を求められる」というのも頻繁に出てくるトピックの1つでした。単純な投資対効果(ROI)のような指標がなく、苦労する担当者が多い中、セキュリティ投資のベンチマーキングをしているという会社も複数ありました。同業他社のセキュリティ担当と定期的な情報交換を行い、自社のセキュリティ対策が他社と比較して進んでいるのか遅れているのか、といったレポートを年1回作成して経営陣とのコミュニケーションに活用しているそうです。これに対しては「同業他社の規模が自社と同程度でないと単純な比較ができず難しい」という声も上がりました。
ガバナンス
ガバナンスについても多くの組織が苦労されており、活発な議論になりました。特に以下の4つの分野が重要なキーワードとなっていました。
国内関連会社
- グループ会社が多く現状を把握するだけで時間がかかる
- 子会社であったとしても業態やビジネス習慣が本社と異なるため、統一したポリシーを適用できない
- 小規模なグループ会社はセキュリティに人や予算を割けないため本社側でどこまでサポート可能か検討している
海外子会社
- 本社で海外子会社も見ているが人員が足りない
- 問題のある海外拠点場合については本社でイニシアティブを取って対応したことでうまくいった
- 買収した海外子会社はリテラシーが高くセキュリティの問題はあまりないが、日本側からの統制を押しつけと考え介入させてもらえない
IoT機器や工場の制御系
- 工場長が最終決定権をもっているためガバナンスが効きづらい
- 情報セキュリティ委員会はITのみを対象としていて制御系が対象外になっていることに危機感を覚える
- ITと同様制御系も昔からセキュリティの対象になっていて互いに協力する文化がある
クラウド利用
- 小さい子会社ほどクラウドを利用しているが監視が全くできておらず不安
- シャドーITの温床になっており過去にインシデントも発生しているがすべてのクラウドを管理する仕組みを持っていない
- クラウドベンダーのリスク評価が難しいが、事業部門からのリクエストのため利用を拒否できない
監視業務
CSIRT構成員の多くは本業との兼任で、本業に加えて教育やトレーニング、情報収集など様々な業務をこなしています。この結果、社内の人材だけでは未知の攻撃に対応するスキルが足りなかったり、24時間365日対応するための人材が不足していたりして、監視やアラート通知などの業務を外部業者に委託しているケースも多くなっています。ところがその一方で「外部業者の質や対応に不満がある」という意見も多く出されました。特に「メニューになっている定型以外の業務ができない」という不満は多くの参加者から聞かれました。そのため、「契約時にしっかり内容を精査し、緊急時にはネットワークを切り離すなど踏み込んだ対応まで契約している」という会社がいくつかありました。このほか「グループ会社が利用している外部SOC事業者に移行することで不満が解消された」というケースもありました。
外部に委託することでコストメリットを出そうとする会社がある一方で、社内でしっかりセキュリティ運用を行う企業もありました。そうした企業は、人員の育成とマニュアル作りに力を入れ、特定個人のスキルに頼らない体制作りをしていました。また、ビジネスクリティカルな部分にフォーカスすることで最小人数でセキュリティ運用を行う企業もありました。
現時点では外部に委託していても様々な不満やデメリットから「自社SOCの立ち上げを検討している」という会社もありましたし、逆に現時点では内部で完結していても「今後の事業拡大のスピードにあわせるため外部委託を考えている」と言う会社もありました。外部委託も内製もそれぞれメリットとデメリットがあり、企業をとりまく状況の変化に合わせてセキュリティ運用を行っていく必要があります。
まとめ
本稿で紹介した以外にもモバイル機器の監視の難しさ、SIEMや脅威インテリジェンス活用の限界、インシデントがないことに対する不安、社内教育用コンテンツやトレーニングの形骸化など、多くのトピックが座談会で議論され、知見が共有されました。弊社では今後も様々な機会を通じて参加者による情報共有の場を提供していきます。
セキュリティ運用には多くの要素があり、それらはすべて「ビジネスを推進し、保護する」ためにあります。パロアルトネットワークスはそうしたセキュリティオペレーションに必要な6つの柱を定義し必要な要素を紹介しています。