外部委託でもSOCやCSIRTを持つべし
サイバーレジリエンスの考え方は、脅威の早期発見と早期対処によってサイバー攻撃の被害を最小限に食い止め、業務への影響を最小化することだ。そのためには、少しでも早く脅威に気づき、すばやい対処を行うことが重要になる。そこで有効な手段とされているのが、「セキュリティ監視センター」(SOC)と「コンピュータセキュリティ インシデント対応チーム」(CSIRT)だ。
SOCは、システムやネットワーク上に配備しているセキュリティ機器で状況を監視し、機器が発するアラートや出力するログなどを分析することによって、重大なインシデントやその要因となる脅威が発生していないかを確認する。いわば、検知に特化した仕組みやチームと呼べるものだ。
そして、実際に問題が発生した際にはSOCからCSIRTに連絡される。CSIRTは、インシデントの対応に特化したチームで、この対応には、脅威を排除することや原因の究明、再発防止策の提案、関係者間への連絡や調整、外部への公表なども含まれる。
CSIRTは専任担当者で構成されるケースもあるが、一般的には担当者が兼務している場合が多い。担当者は、平時には通常業務を行い、有事の際に召集され、チームが編成される。CSIRTとは、いわば消防団のような位置付けだ。ただし、インシデント対応には企業としての判断が必要になるケースが多く、CSIRTの活動に経営層の参加が欠かせない。また、自社にCSIRTを組織することで、他の企業や組織のCSIRTとコミュニケーションができ、情報を共有することで新たなサイバー攻撃の傾向などを把握できるようになる。
とはいえ、そもそもIT部門の人数が少ない中小企業では、自社でSOCやCSIRTを構築することは難しい。最近では、セキュリティ対策をアウトソーシングできる「マネージドセキュリティサービス」(MSS)が増えている。MSSの中には、SOCやCSIRTの機能を提供しているところもあり、市場調査会社などでは、今後さらに拡大すると予測されている。
企業にとってMSSは、せっかくのセキュリティ対策機器への投資を無駄にしないためにも利用したいサービスといえる。そして、結果的に自社のサイバーレジリエンスを高めることにもつながるだろう。
