そもそも現在のセキュリティ対策に必要な考え方は何なのか、その中で情報システム部門にできることは何か。そして将来は。ユーザーはどう解釈し、システムをつくるべきなのか――。編集部の呼びかけにセキュリティベンダー4社が集まり、座談会を開催した。今回は3回目(第1回)(第2回)。
メンバーはシマンテック 執行役員 エンタープライズセキュリティ事業統括本部 セールスエンジニアリング本部長 外村慶氏、ブルーコートシステムズ エンタープライズ・ソリューション・アーキテクト 村田敏一氏、パロアルトネットワークス エバンジェリスト兼テクニカルディレクター 乙部幸一朗氏、トレンドマイクロ 上級セキュリティエバンジェリスト 染谷征良氏の4人。
――最近では、組織内CSIRT(Computer Security Incident Response Team)に注目している日本企業も増えています。CSIRTとSIEM(セキュリティ情報イベント管理)を連携させるというと、大企業向けの体制ではありますが、現在の理想形とも言えます。一方、現在のCSIRTとSIEMの改善の余地がある点について、考えを聞かせてください。
シマンテック 執行役員 エンタープライズセキュリティ事業 セールスエンジニアリング担当 外村 慶氏 エンタープライズセキュリティビジネスにおける技術支援業務全般を統括
外村氏 われわれは以前、ビジネスの観点からSOC(セキュリティ監視センター)が日本でどのくらい立ち上げられるかを調査をしたのですが、およそ1200億円ぐらいの市場と見ていました。でも実際にビジネスをしていると、1200億円の規模があるのかなという感覚で、調査とのギャップが大きい。そのギャップの原因は、その1200億円のほとんどがいわゆるNOC(ネットワーク監視センター)でネットワーク系の監視なのです。
つまり、NOCとSOCと境界線がなくなっている。悪く言えばSOCじゃないのにSOCと言っている。SIEMと呼ばれているものも、その精度が本当に高ければ、セキュリティに対して有効なものでしょう。しかし、そういうレベルでなくてもSOCを名乗ったり、SIEMとして運用できているという話を聞くと、本当にそれで企業が守れるのか、疑問を感じてしまいます。
染谷氏 トレンドマイクロでも昨年の夏に、CSIRT/SOCの調査を実施しました。その結果、「CSIRT/SOCをもうすでに構築している」と答えたのは全体の4%くらい。そういう数字がある一方で、「今後CSIRT/SOCを立ち上げていく」という回答も結構ありました。
ただ、確かにCSIRT/SOCはここ最近キーワードとして出ていますが、これは外村さんのご意見に上乗せする感じですが、「CSIRT/SOCが本当にその組織に正しい選択肢なのか」がどれだけ検討されているかというのが、私には疑問です。
本当に大事なこと、何を目的とするのかが明確になっていて、その目的に合致しているのであれば、CSIRTでもSOCでも手段はどうでもいい。また、自前でやるのか、外部のセキュリティの専門家に任せるのか、あるいは外部のセキュリティベンダーと協業しているようなSIer(システムインテグレーター)と連携してやってもらうのかも同様です。ポイントがどれだけきっちり組織の中で整理されているかが重要なので、そこにまず目を向けてほしいです。