セキュリティ運用とは？よくある課題とアウトソーシングの選び方を紹介

更新日 : 2022年12月06日

海外から日本政府や日本の著名な企業へのサイバー攻撃が続く中、中小企業も他人事ではありません。

サイバー攻撃はセキュリティ対策製品を潜り抜けられるよう日々進化しています。よって、どんな優秀な製品を導入したからといって、攻撃を未然に防ぐことは困難なのが実情です。

サイバー攻撃による被害を最小限にするためには、適切なセキュリティ対策製品の導入と「運用」が重要なポイントになります。

本コラムでは、セキュリティ運用とは何か、どういった項目が必要なのかをご紹介します。

生産性の向上や人手不足の解消と、セキュリティ強化の両立を検討したいという方はぜひご覧ください。

セキュリティ運用とは

セキュリティ運用とは、主に組織で利用しているITシステムが停止することなく、利用者へ継続的にサービス提供できる環境を維持、管理する事です。

そもそも運用とは、「そのもののもつ機能を生かして用いること」を指します。よって、ITシステムやセキュリティ対策製品が持つ機能を有効活用し、そのシステムがもたらす効果を最大限に発揮させることと言えるでしょう。

これを実現するためには、各システムが有効に機能しているかを可視化する必要があり、各システムが記録するログデータを取得し、分析が必要です。この結果を基に設定変更や改善活動を日々繰り返し行っていくことが、運用なのです。

組織のIT環境は働き方の変化や社会の変化に応じて変化していきます。これらの変化に対応しながら継続的に組織を守るためにも、サイバー攻撃の予兆があればすぐに検知・対処し、安定的なIT環境を維持し続ける運用が重要になっています。

セキュリティ運用項目の一例

製品によって運用項目が異なりますが、具体的にどのようなことを運用フェーズで行うのか一例をご紹介します。（組織でのセキュリティ運用体制が確立されていて、各項目に対応した運用手順が整備されていることを前提にしています。）

平時

構成管理、変更管理
セキュリティ対策製品が発報するアラート、システムログなどを活用下セキュリティ監視、検知
脅威情報の収集、自システムへの影響分析
CVSS（Common Vulnerability Scoring System）などに基づくリスクに応じた脆弱性対応
定期的な脆弱性診断の実施
有事を想定したセキュリティ運用訓練の実施
ユーザーからの問い合わせ対応
メンテナンス（パッチ適応、バージョンアップ作業など）
定期報告
作業手順書の最新化
ベンダーへのエスカレーションや問い合わせ、製品情報の収集

有事

インシデント対応

検知次第速やかな対処を行うことで、社内システムや業務への被害・影響を最小限する。
社内外への報告、情報公開
重大な被害が発生した場合、必要に応じてプレスリリースの配信、監督官庁への報告や組織内部への情報展開を行う。

セキュリティ運用設計のポイント

セキュリティ運用の設計に関してさまざまな団体がガイドラインを発行しているものの、どれが自社に合うのか、読んでみたもののどんなアクションを取るべきかわからない、などお悩みの方も多いかと思います。

例えば、有名なガイドラインの1つとしてNIST Cybersecurity Frameworkがあり、IPAが翻訳したものを掲載していますが、「組織と情報システムのためのセキュリティおよびプライバシー管理策」だけでも458ページもあり、読み解くだけでも大変です。

ガイドラインをどのように活用して良いかわからないという方に向けて、自社の運用項目に不足事項があるかを簡易的に確認するには、古い資料にはなりますが「情報セキュリティ対策ベンチマーク活用集」の資料と奥付にある質問と対策のポイントを活用してみてはいかがでしょうか。サンプルとして一部の設問を下記に記載します。

情報システムの運用に際して必要なセキュリティ対策を実施していますか

システム運用におけるセキュリティ要求事項を明確にしているか

情報システムの運用手順書を整備しているか

日々のシステム運用に不手際が生じないようにするための工夫をしているか

システムの運用状況を点検しているか

セキュリティ関連のイベントのログを取得しているか

設備の使用状況を記録しているか

イベントログや設備の使用状況に関する記録を定期的に点検しているか

不正行為の証拠を隠ぺいするなどの目的で、システムログや各種の記録が、改ざんや消去等されないように配慮しているか

システム内のサーバや端末などの機器類について、常に時刻が同期するように設定しているか

設問の中で判断に迷う項目があれば、懇意にしているセキュリティベンダーへ相談してみましょう。もしも相談先が見つからなければ、ＪＢサービス株式会社へご相談ください。

また、インシデントが発覚した際の手順を定めるうえでは、サイバーセキュリティ経営ガイドライン「付録C インシデント発生時に組織内で整理しておくべき事項」を活用してみてはいかがでしょうか。インシデントの原因を調査する際に予め整理しておくべき項目がまとめられています。

セキュリティ運用の課題

多くの組織が抱えるセキュリティ運用の課題は、大きく3つ挙げられます。

1.運用にかかる工数が増える

セキュリティ対策製品の導入により、今まで見えなかった攻撃が見えるようになります。

つまり、分析対象のアラートや監査ログの量も増えてしまい、運用にかかる工数が増えてしまうのです。アラートの中には過検知・誤検知もあるため、運用フェーズではアラート内容を調査し、過検知であれば今後検知しないような設定変更が必要です。

2.人員リソースの確保

セキュリティ運用には、対象製品に対するスキルや分析・判断する上で高度なスキルを持った人材が必要です。また、サイバー攻撃は夜間や休日など問わず発生する可能性があるため、サイバー攻撃を受けた際に迅速に対応できる体制づくりも重要です。

一般社団法人日本情報システム・ユーザー協会（JUAS）「企業IT動向調査報告書2022ユーザー企業のIT投資・活用の最新動向情報」によると、セキュリティ人材不足の対策案として、1位は要員の育成、2位は外部サービスの利用がランクインしていました。社内リソースの確保が難しければ、アウトソーシングも検討に入れた方が良いでしょう。

3.費用対効果

セキュリティ運用に限らず、多くの企業が運用コストの削減を経営課題に挙げる中で、運用サービス単体として費用対効果を表現するのは難しいものです。冒頭にも記載しました通り、どんなに優秀な製品を導入しても、導入後の運用でその機能をどれだけ発揮できるかが決まると言っても過言ではありません。

製品によってはあらかじめ決められたプロセスを自動で行うような機能を持つものもありますので、運用工数の削減と製品機能の活用の両取りを狙えるようなセキュリティ運用設計が重要です。

解決策の一例

膨大なアラート対応や人員不足を解消する一つ目の手段として、自動化が挙げられます。セキュリティ運用に関する業務を効率化あるいは自動化する製品としてSOAR（Security Orchestration, Automation and Response）があります。似た機能をもった製品にSIEM（Security Information and Event Management）がありますが、どちらも様々なセキュリティ製品からデータを収集し分析を行いますが、SOARは脅威インテリジェンスのデータも収集でき、分析結果に基づく初動対応まで自動で行えます。

脅威の分析から対処まで自動で行えるSOARは魅力的な製品ですが、SOARの導入には前提としてセキュリティ運用が定義できていることと、それなりのコストがかかります。

SOARほど費用をかけず人的リソースの確保のためには、アウトソーシングという手があります。運用にはセキュリティに関する知見や製品知識が必要で、人材を採用・育成するには費用も時間もかかってしまいます。そこで、セキュリティ専門の会社が提供する運用サービスを利用し、社内の人材を割かなくても社外へ運用をアウトソーシングすることでセキュリティレベルを維持できます。

アウトソーシングの選ぶポイント

アウトソーシングを検討するにあたり、「セキュリティ運用サービス」というキーワードで検索するだけでも多くのベンダーが出てきます。

なかには、単純にお客様に代わって作業を代行するサービスにもかかわらず、運用サービスと謳っているケースもありますので、選ぶポイントをご紹介します。

対象製品

まずは、自社が利用しているセキュリティ製品の可視化やログが適切に取得できているかどうかの確認が必要です。
稼働時間、報告手段や時間帯

サービス提供の時間帯は24時間365日なのかや、有事の際の報告手段はどのようになっているかの確認が必要です。
サービス内容

運用サービスに、インシデント発生時に適切な対処まで実行してくれるか、イベントログの分析を含めるかなどといった、サポート内容をチェックする必要があります。
人員のスキルレベル

運用に携わる人員がどういったスキルを持っているかの確認も重要です。有益な資格の一例として、CompTIAの「Security+」や、EC-Councilの「Certified Ethical Hacker」が挙げられます。
実績

これまでに何社へサービス提供しているのかや、自社と同じ業界への実績はあるかなども、選ぶポイントに挙げられます。
第三者の認定

第三者が定めた基準を満たしているサービスかどうか判断する上で、情報セキュリティサービス基準適合サービスリストがあります。これは経済産業省が策定した「情報セキュリティサービス基準」への適合性を各審査登録機関により審査され、同基準に適合すると認められた場合、各機関の登録台帳に登録され「誓約書」をIPAに提出頂いた事業者の各情報セキュリティサービスを掲載するものです。

まとめ

セキュリティ運用の実施項目や課題、解決策の一つであるアウトソーシングの選び方をご紹介しました。

ＪＢサービス株式会社は、24時間365日稼働の運用センターSMACを有しており、そこには認定ホワイトハッカーを中心としたエンジニアが在籍するSOCチームがお客様のセキュリティ運用をご支援しています。

業種や企業規模問わず様々なお客様へサービスを提供しています。また弊社の運用サービスは、情報セキュリティサービス基準審査登録制度に登録されています。

セキュリティ運用のアウトソーシングをご検討中の企業や、今利用している企業からの乗り換えをご検討中の企業はぜひお気軽にご連絡ください。

よくある質問

セキュリティ運用とは？: セキュリティ運用とは、ITシステムやセキュリティ対策製品が持つ機能を有効活用し、そのシステムがもたらす効果を最大限に発揮させることと言えるでしょう。詳しくはこちらをご覧ください。
セキュリティ運用でよくある課題は？: 多くの組織が抱えるセキュリティ運用の課題は、工数の増加、人的リソースの確保、費用対効果の大きく3つ挙げられます。詳しくはこちらをご覧ください。