セキュリティ監視、していますか?
某警備会社のCMのようだが、こう尋ねられて答えられる経営者の方は比較的多いのではないだろうか。実際、外部からの侵入に対し、自社または外部事業者(MSSP = Managed Security Service Provider)に委託してセキュリティ監視を行っている企業が大多数を占めると思う。
デロイト トーマツ リスクサービス
ディレクター
外資系Slerにてセキュリティ分析サービス運営センター(SOC:セキュリティオペレーションセンター)のセンター長を経て、2015年デロイト トーマツ リスクサービス株式会社に入社。各国デロイトCICとの情報連携の中心となり、サイバーインテリジェンスに関する調査および、CICサービス高度化業務に従事。
では、昨今の脅威に対してその監視は有効ですか?という問いに答えられる方は、経営者の方はもちろん、CIO・CISOの方でも少ないのではないだろうか。本稿では、従来から行われているセキュリティ監視サービスとその限界を取り上げ、どのようなセキュリティ監視サービスが有効なのかについて解説したい。
セキュリティ監視を生業とするMSSPが米国で生まれたのは1990年代後半と言われており、日本でも2000年前後からセキュリティ監視サービスを提供する事業者がいくつか出てきている。私自身も2002年からセキュリティ監視のビジネスに関わり始め、今日に至るまで主にSOC (Security Operation Center)の運用・立ち上げに関わってきているが、日本市場に於けるセキュリティ監視の実態やクライアントの意識は2002年当時からあまり変わっていない部分がある。
具体的には、日本の一般的なMSSPがクライアント1社あたり監視しているのは平均して2~3台である。(筆者の経験則および知見による)それらの機器はFirewallやIDS・IPS(侵入検知・防御システム)、またはそれらの機能をAll-In-Oneで提供するUTM(統合脅威管理:Unified Threat Management)と言われるタイプの機器が中心である。セキュリティ機器に詳しくない読者のために分かりやすい例で説明すると、FirewallとIDS・IPSは企業のインターネットの出入り口に配置された無人の門番と不審者を検知するためのセンサー(IPSは自動で不審者を止めてくれる機能を併せ持つ)である。
では、これらの機器があれば、高度化する攻撃を防御・検知できるかと言われると実はこれだけでは十分ではない。