本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
サイバーセキュリティの分野においては、人材の問題がよく指摘される。総務省の調査によれば、国内を見ても、2020年には約20万人の人材不足(PDF)に直面すると言われてきた。この数字だけを切り出しても現実問題としてはなかなかピンとこない。しかし、サイバーセキュリティにおける「人材がいない」「ある程度スキルがつくとすぐ転職してしまう」といった懸念は近年、特に耳にするようになった。
筆者が所属するパロアルトネットワークスが、企業のセキュリティ従事者を対象に実施した調査では、セキュリティ対策における課題の上位3位に、「スキル不足」「属人化」「人材不足」が挙げられ、全てが「人材」に関するものだった。今回は、本調査をもとに人材不足を解決しつつ、企業全体のセキュリティレベルを上げる方法についてひも解いていく。
企業のサイバーセキュリティの課題は「人材」と「セキュリティ製品」
人材不足やスキル不足の課題は、セキュリティ対策が十分とは言えない企業ほど顕著な一方で、属人化はセキュリティ対策が進んでいる企業ほど顕著だ。いずれにしても、市場全体で人材が不足しているサイバーセキュリティの領域において、人材の確保や維持が実現できないこと自体が、企業にとって大きなビジネスリスクとなる。テクノロジーに対するビジネス活動の依存度が増大の一途をたどる中、安全なテクノロジーインフラを構築する重要度もまた、これまで以上に高くなっている。
企業のIT環境が複雑になり、サイバーリスクも一層深刻になる現状を背景に、セキュリティ人材への需要や期待が高まり、同時に負荷も高まるばかりだ。企業の安全性を守る上では、エンドポイント、サーバー、ネットワーク、データ、クラウドなどの各保護領域において、数多くのセキュリティ製品を導入して管理しなければならない。
前述の調査では、平均的な企業で約13個のセキュリティ製品が導入されていることが分かった。対策が進んでいる企業では20個、30個といった無数の製品が導入されている。製品導入の多い少ないに関係なく、多くの企業が異なるセキュリティベンダーから製品を調達して運用しているため、一元的な管理が難しいだけでなく、投資の相乗効果を生みにくいという現状もある。
加えて、それぞれの製品からは膨大な量の警告(アラート)が上がってくる。担当者はそれらの警告に連日のように対応しなければならないのが現状だ。パロアルトネットワークスの買収したSOAR(Security Orchestration、Automation and Response)企業のDemistoが2018年に行った調査では、1企業当たり平均して毎週17万件を超えるアラートが発生していることが確認され、セキュリティ担当者の負荷を増大させる結果となっている。事実、前述の調査でセキュリティオペレーションにおける課題として4位・5位に挙げられているのが、「管理するセキュリティ製品の多さ」「セキュリティ製品から上がるアラートの多さ」だ。つまり、管理・運用負荷の増大とアラート疲れである(図1)。
図1:企業のセキュリティオペレーションに関する課題上位5位
これらの課題は、セキュリティ対策が十分に行われている企業ほど顕著だ。自社に被害を発生させてはならないというプレッシャーの中、担当者は次から次へと上がってくる警告を手作業で精査、対応をすることにより疲弊してしまう。その一方で、人材や予算が不十分なことによって、十分なセキュリティ対策が導入されていないというケースも多々あるのも実情だ。
