セキュリティ運用をアウトソースする、これだけの理由

CTC-SOC

企業がセキュリティ対策を実施するうえで、組織内SOC(ソック:Security Operation Centerの略)の設立を重要視する傾向があります。しかしながら、このSOC機能を自社で運用せずにアウトソースで対応している企業や組織が増えています。なぜ彼らはSOCを自社で運用せずにアウトソースするのでしょうか、その理由を述べてみたいと思います。

自社でSOCを運用する企業も増えてきました。その一方で、SOC機能をリモートから企業に提供するSOC事業者も増えています。SOC事業者の業績は伸びているとともに、セキュリティベンダーやコンサルティング会社からの新規参入も目立って増えています。実はセキュリティ運用の要となるSOC機能をアウトソースする企業が増えているのです。SOC機能をアウトソースする理由とは、いったい何なのでしょうか?

 

自社SOCかアウトソースか

そこには、「前向きな理由」と「後ろ向きな理由」があった

SOCを自社で運用せず、アウトソースを利用する「前向きな理由」としては以下があります。

専門家の経験や知見を期待できる

SOCの専門業者であれば、当然多くのインシデントの対応経験や多種多様なセキュリティ製品を利用している経験があります、また専門知識をもっていることから、迷うことなく対策を提示してもらえるという期待があります。

24時間365日対応してもらえる

自社で要員を確保するとなると、最低2名を1チームとして24時間体制を組むためには、休日等の割り振りも考えると5チームは必要になります。つまりSOCを24時間対応で運営しようとすると、最低10名の要員が必要となりますが、アウトソースすることでそれだけの要員を抱えることなく、24時間365日の対応が可能になります。

専門の機材を準備するコストが省ける

SOCを機能させるためには、関連する機器のログを収集・分析するシステムと発生したインシデントを管理するシステムが必要になります。これらのシステムを購入するだけでなく、適切な設定を行ったり、レポートの機能を充実させたりすると莫大な費用が掛かります。
アウトソースすることでこれらのコストをかけずに対応できるという点があります。

短期間で運用開始が可能である

自社でSOCを立ち上げると先ほどの機材の設計・導入、要員の教育、インシデント対応方針や手順の作成など、準備だけで数か月を必要とします。運用を始めて経験がたまり十分な稼働が期待できるまでには1年はかかります。アウトソースすることで運用までにかかる期間は1か月から2か月ですみます。このようにして期間を大幅に短縮し、早急な監視・運用体制を開始することができます。

 では、「後ろ向きな理由」とはどのようなものがあるのでしょうか?

セキュリティ人材の不足により要員が集められない

24時間の稼働を目指す場合、最低でも10名は必要と前述しましたが、一定のレベルにあるセキュリティスキルを持つ要員を10名集めるということは、大変難しいという実情があります。
もちろん専門業者やコンサル会社から要員を派遣してもらうことも可能ですが、その場合のコストは大幅にあがる、という現実があります。

セキュリティ対策に大きなコストがかけられない

事業として収益を上げるわけではないセキュリティ対策には莫大な費用をかけられない、という事情もあります。SOCの機材、場所、要員を24時間体制で準備するとなると、億単位での投資となり、経営判断的には「NG」となるケースも多いようです。

投資対効果が見えにくい

SOC運用を自社で行うには膨大な費用がかかるのですが、「自社にそれだけのコストをかけて守る情報資産があるのか?」、「専門部隊を自社に置く必要があるくらいのインシデントが日々発生しているのか?」、「どれだけの効果があり、それが企業にとってどれだけの価値を生むのか?」、という点で投資効果が見えにくいという点があります。

 

自社SOCで期待される効果が出なかった

■自社SOCへの評価

自社でSOC部隊を立ち上げ、運用されている企業を見たことがありますが、専用の部屋を設け、要員は3名体制でSIEM(シーム:Security Information and Event Managementの略)ツールからのインシデントアラームに対して、かなり忙しそうに対応されていました。数千台あるクライアントPCからマルウェア検知のアラートがあればPC隔離や被害状況の調査をおこない、外部からの不正な通信を発見すれば、不正侵入防御装置のログを確認したり、休むことなく対応されていました。

しかしIT部門や利用者の部門から聞いた話だと、「対応の知見がないので時間がかかりすぎている」、「対応の指示内容が判りにくい」など、評価は良くありませんでした。

それもそのはず、まだ立ち上げてから数か月、しかもセキュリティの知識はあるもののSOCとして経験のない要員で構成されていたからでした。

■SOCをアウトソースする一番のメリットは?

SOCをアウトソースする一番のメリットとはなんでしょう?

私見ではありますが、それは「いつでもやめることができる」という点だと考えています。自社で準備した場合に、期待する効果が得られずにSOC運用をやめてしまう事は、かけたコストの大きな無駄遣いになってしまいます。しかし、アウトソースした場合は、もしもアウトソース先が期待する成果をあげられなかったとしても、契約を更新しなければそれ以上のコストはかからない、という点が一番のメリットではないかと感じています。

 

もう少し詳しい、セキュリティ運用をアウトソースする事のメリットやデメリットについては、次の機会に書きたいと思います。

 

用語解説

  • SOC ・・・企業のネットワークやサーバを監視し、セキュリティインシデントの発見および対策を実施する組織体の名称。リモートで監視や運用を実施するサービスのほか、最近では自社内にSOC組織を立ち上げ、運用する企業も出てきた。
  • SIEMツール ・・・ネットワーク機器やサーバなどのログを収集、監視することでコンプライアンス違反を監視するとともに、イベントをリアルタイムに検知することでインシデントへの対策を迅速に、かつ管理者の負担を減らすツールとして注目を浴びている。
  • マルウェア ・・・コンピュータウイルスなどの悪意を持ったソフトウェアの総称。

 

著:市川 順之
オープン系システムの提案~構築、仮想化統合などのエンジニア経験に加え、情報セキュリティ規定策定支援、Pマーク取得支援、BCP策定支援、DRサイト構築支援、品質管理マネジメント策定、認証取得コンサルティングなどの実績を誇る。著書に「平成20年度 情報セキュリティ市場調査報告書」と「事業継続のための高回復力システム 基盤導入ガイド」がある。

 

 

 

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン