パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #03/ セキュリティ対策製品導入後にやるべきこと~製品の性能を発揮する運用体制の構築とは~

多くの時間とコストをかけて導入したセキュリティ対策製品だが、導入後単に稼働させているだけの「放置状態」では、本来のパフォーマンスが発揮できる状態とは言えない。セキュアな状態を維持するために運用は自社で行う以外に委託も視野に入れ、広義な意味(汎用的な思考にて)でセキュリティ製品導入後にやるべきことは何かを考察する。

f:id:sky-pca:20191015132421p:plain

導入時は機能よりも「導入後に何をすべきか」を聞くこと

多くのベンダーは自社ツールの機能や特長を説明することに多くの時間を割く。販売することで利を得るのでやむを得ないが、「これを入れておけば安心です」という営業トークは乱暴すぎる。これは筆者がスピーカーを務めるセミナーで受講者から聞いたUTM導入の経緯である。UTMは確かに設置して稼働させることで不正アクセスを検知し防御することはできるが、そのまま放置するかのごとく電源を入れておけばよいというものではない。導入後の運用(メンテナンス)を行わなければ、最新の鍵がついた新築一戸建てにも関わらず、鍵はついているのにまったく施錠されていない状態で住んでいるのと同じ状態になりかねないのである。

売れ筋の製品であれば、複数のベンダーが提案をしてくることになるが、ここで重要なのは導入後にしなければならないこととその理由を徹底して聞くことである。ベンダーが提示するマニュアル上のサポート体制ではなく、自社で導入した場合に「何を、どのタイミングで、どのくらいの頻度で実施するのか」それは「何のために必要なのか?」これを詳しく説明できてこそ、本来のサポート体制と実績を保有しているベンダーと言える。職種柄、多くのベンダーの提案書なるものを拝見してきたが、導入後にやらねばならないことの詳細を記述しているものは、ほとんど見たことがない。専門知識を有せず、未知の製品を導入する顧客に安心を与えるという意味において導入後の運用提案についての記述は必須の項目と考える。

ハードウェアやソフトウェアに限らず、今後何らかの製品等の導入予定があるならば、各社の提案に導入後にしなければならないことの説明をリクエストしてその結果を比較ポイントにして選定することを推奨する。

導入後にやるべきこと

次にやるべきことは最新のバージョンにて稼働させることである。理由はあえて説明するまでもあるまい。ただし頻繁にマイナーバージョンアップモジュールが提供される製品に関しては、あまり品質の良くないものがリリースされることもあるため、適用にあたっての事前検証は必須と認識しなければならない。クラウドサービスなどを利用している場合、バージョンアップによる想定外の影響で通信断になることも考えられるからである。

最後にやるべきことはログを取得して効果測定をすることである。何を目的として導入し、その後の効果はどうであったのかを振り返る必要がある。ログを取得して脅威の予測が可能となり、かつ導入効果が測定できないと次期セキュリティ対策へとつながる運用体制とはならないからである。

f:id:sky-pca:20191014124830p:plain

運用体制構築の視点

上記で3つのやるべきことを提言したが、必要性は理解されるものの現実的にそのような体制をとることはリソース的にもスキル的にも困難であるとの声を聞くことが多いのが実情である。監視は常にやっておく必要があるし、最新のバージョンを把握し検証してから適用するのはある程度の労力と時間を要する。そのため、多忙をきわめる情報部門の要員では手が回らずに後回しになりがちであろう。まして、セキュリティ対策製品が一つしかないということも考えにくいため、製品の数だけ運用負荷は増加する。サーバーやOSおよびアプリケーションのバージョンアップが優先され、ハードウェア製品等はあまり意識されることがなく、導入時のバージョンで稼働し続けているということは決して少なくないと聞く。製品の機能に精通し、必要なログを取得して効果測定用のレポートを出力することも決して容易ではない。ここで考えられるのが運用委託という選択肢である。この3つのやるべきことはSOCサービス(Security Operation Center)というもので提供されており、24時間365日の体制でサポートしてくれる。要員不足により停滞しているものがあるならば、専門の事業者に委託することも製品導入の効果を発揮するための選択肢として検討してはどうか。

第4回/「セキュリティ人材不足」の影響~自社にとって必要なセキュリティ人材の考え方~

 

インフォフラッグ株式会社 代表取締役:神戸 仁

クライアント管理ツールメーカー勤務を経て、2008年にインフォフラッグ株式会社を設立。IT関連企業の新規ビジネス企画、マーケティング戦略策定等のコンサルティングを行う。また企画だけではなく実動部隊を育成する社員教育(新入社員から幹部教育)事業にも注力。その傍らで、長年従事しているITに関わる講演活動および執筆活動を精力的に行っている。