現在のセキュリティ対策は、「防御」一辺倒だった時代から、監視と検知、対応を通じて防御にもつなげる「脅威対応ライフサイクル」と呼ばれる流れになりつつある。特に、監視と検知ではセキュリティ対策の状態を把握する「可視化」が不可欠で、2010年ごろからSIEM(セキュリティ情報・イベント管理)やEDR(エンドポイント検知・対応)など可視化のための手段が進んだ。その結果、可視化されたセキュリティ状態をどう維持、向上させるかという対応側に課題が移りつつある。
シマンテック マネージドセキュリティサービス日本統括の滝口博昭氏
シマンテックでセキュリティ監視センター(SOC)などのサービスを担当するマネージドセキュリティサービス日本統括の滝口博昭氏は、「システムやネットワークからエンドポイントやクラウドへと可視化の範囲が広がるにつれ、監視し切れないというユーザーが増えている。さらに、可視化で脅威が見つかっても対応できないという体制的な問題も生じている」と話す。
セキュリティの可視化と対応は、まず可視化手段の整備が先行し、後からCSIRTなどの対応体制の整備が急速に進んだ。その結果、現在は「手段があっても、ここまでの対応が限界だとようやく分かってきた状況」(滝口氏)にある。対応体制を確立しようにもその前提となる監視に必要なリソースがなく、同社のような専門ベンダーに作業を委託するケースが増えているという。
2016年に経済産業省が発表したIT人材に関する予測の中では、2020年にセキュリティ人材が19万3000人も不足するとされている。この予測に対しては、「担当者の数を増やすべき」という意見から「しかるべきスキルや能力を有する人を増やすべき」という意見まで、IT業界内にはさまざまな見解がある。セキュリティ監視の現場を預かる滝口氏は、後者の見方をしている。
経済産業省のIT人材動向予測、不足の大部分をセキュリティ人材が占めている
「実際に人数がもう少し多ければということはあるが、それ以上に必要なことは『質』を確保し、高めていく方だと日々実感している。脅威が分かっても対応できないから何とかしてほしいという声は多い。現場での対応を指揮したり、管理したりできる人材がいないことが一番の課題だと思う」
人手不足は、セキュリティを提供、利用する双方に共通した課題だが、滝口氏によれば、可視化の作業という点では、技術開発やツールによって人手をかけない自動化が進みつつある。
「人工知能(AI)のアプローチに近いが、機械学習など活用して脅威を見つけるためのノウハウをシステムに学ばせていくことで、負担のかかる監視や基本的な解析などの作業を省力化できるだろう。その点を含めてセキュリティ対応の質を向上させる人材の確保や育成が大切になってくる」
それではセキュリティ対応の質を高める上で、人材にはどのような点が求められるのだろうか。対応にまつわるプロセスや業務全体を管理する立場としては、「内外の人材によるチームワークをうまく回せるバランス感覚や調整力、つまりは『コーディネーション』ができる素質が重要になるだろう」(滝口氏)という。一方、脅威の解析や理解あるいは対策の実行といった現場寄りの人材では、セキュリティとは異なる視点やスキル、経験を持っているかがポイントになるという。
「例えば、SOCの人材では画像解析技術に詳しい人材を起用することで、セキュリティとは違った視点から脅威の姿が見えてくることもある。監視や解析といった作業は、一定の経験を踏めば、90%ぐらいは自分なりの見方や分析方法といった『型』を身に付けられるが、残り10%の『型』にはまらない部分で新しい変化を感じ取れるかが重要。変化を感じ取れるようアンテナを張り巡らせる感性が大切になる」
現在はセキュリティ人材の数的な不足を解消しようとベンダーなどを中心に人材育成の取り組みが拡大しているが、近い将来に自動化技術などが普及すれば、むしろ現場側の人材が余剰になる可能性もある。
「現在はセキュリティの現場の人材がどうキャリアを高めているかということにも日々取り組んでいる。場合によってはセキュリティを提供する側からユーザー側に移ってマネジメントを身に着けるようなキャリアパスも必要だろう。私自身もそれが1つの選択肢になると思うが、まずは提供側でやるべきことに注力している」と滝口氏。
今後もセキュリティは企業の重要な経営課題の一つとなり続けるだけに、セキュリティ人材の数を増やす取り組みだけでなく、長期にわたって活躍できる環境づくりも同時並行で進めていくべきだろう。
