丸投げできるわけではない情報セキュリティのアウトソーシングをめぐる誤解

セキュリティのアウトソーシングを始めるなら、それが自分の会社独自の状況にどういった影響をもたらすかを検討する必要がある。

[Khalid Kark，TechTarget]

　数年前まで、セキュリティ管理は神聖視されていた。非常に重要な業務なので、外部の業者に委託するなどもってのほかと考えられていたのだ。業者がミスをしようものなら、ネットワーク境界部の防御が穴だらけになったり、機密データが社外に流出しかねないというわけだ。

　しかし今日、攻撃はいっそう巧妙化し、悪質なハッカーはさらに賢くなっている。また、数々の厳しい法規制の中、どの企業においてもセキュリティ侵害は深刻な問題につながる。加えて企業のIT環境はますます複雑化し、従来の防御手段では組織を十分に防ぎきれない。

業者の支援を必要とするのは

　こういった問題に対処するために、CISO（情報セキュリティ最高責任者）たちは、以下の分野でセキュリティ管理を強化するためにアウトソーシングに頼ろうとしている。

複雑化する脅威の分析および抑止

　CISOたちは、攻撃の複雑性およびゼロデイ脆弱性攻撃の増加に脅威を感じている。中でも最も厄介なのがターゲット型攻撃である。これは、特定の企業や組織の顧客あるいは従業員にわなを仕掛けることを狙った攻撃だ。犠牲者のマシン内で自らの存在を隠す攻撃ツールであるrootkitは2006年以来、攻撃者の間でポピュラーな戦略となっており、検出・除去するのが極めて難しいことで知られている。もはや新たな脆弱性を把握し、それに応じて必要な構成変更やパッチ適用を行うだけでは不十分なのだ。CISOが複雑な脅威を事前に抑止するための戦略を立案するには支援が必要となる。

セキュリティ指標の測定、把握、報告

　経営トップはセキュリティ予算の割り当てに際して納得のいく説明を求める。また、彼らは定期的な進ちょく状況報告もCISOに要求する。取引先からもセキュリティ対策に関する報告が求められるだろう。明確な指標プログラムがあれば、こういった要求に対応できるだけでなく、CISOがセキュリティプログラム効果を測定することも可能になる。CISOがセキュリティ指標を利用して、セキュリティへの取り組み状況の測定、目標の設定、進ちょく状況の把握、セキュリティプロジェクトの優先順位の設定、セキュリティ投資の理由付けといった作業を行うには支援が必要になる。

ライフサイクルを通じた情報の保護

　政府による法規制に加え、データ流出やなりすましなどをめぐる事件が盛んに報道される中、企業に対して情報保護対策の強化を求める圧力が高まっている。CISOたちは、顧客、財務、医療、従業員などに関するデータの保護を求める新しい法規制に対応するのに苦労している。この問題を部分的に解決するのに利用できる技術は、暗号化、エンドポイントセキュリティ、情報漏えい防止（ILP）など多数存在する。強力な認証／ID／アクセス管理は、これらの技術を補強することでライフサイクル保護を実現する可能性がある。しかし、こういった技術を連係・運用するとともに、不備がないことを確認するために監査を行うのは、大きな負担になり得る場合がある。情報の特定、分類、処理、追跡、保存、廃棄を含めた総合的な戦略と強力なプロセスを策定するに当たっても、CISOは支援を必要とする。

　セキュリティ機能のアウトソーシングは、こういったセキュリティプログラムの要件を満たす上での負担を軽減する魅力的な手段である。しかし、ITアウトシーシング全般について言えることだが、十分に熟慮した上で判断を下すことが必要だ。

アウトソーシングをめぐる誤解

　アウトソーシングという選択肢を検討する際には、以下のような誤解に注意しなければならない。

アウトソーシングの方が安くつく

　一般に、企業がセキュリティ業務のアウトソーシングを検討する理由の1つがコストである。しかしForrester Researchの調査によると、コストが主要な動機でない場合も多い。早い話、アウトソーシングが必ずしもコストダウンにつながるとは限らないのだ。実際、かえって支出が増えたという企業も多い。それでもこれらの企業がアウトソーシングを利用するのは、アウトソーサーの専門能力に頼ることができ、24時間体制の監視やコンプライアンス報告といった追加的サービスが得られるからだ。コスト削減を約束するアウトソーサーは、安価なリソースを利用したり、特定のタスクを完了するのに長い時間をかけることによって低料金を実現している可能性があることも頭に入れておく必要がある。

セキュリティのアウトソーシングはリスクの移転を意味する

　アウトソーシングは責任の移転を意味するが、説明責任まで移転するわけではない。アウトソーシング契約におけるリスク管理の側面ついては、慎重な検討が必要だ。データ保護に関連するリスクをアウトソーサーに移転することはできないが、監査請求条項、SLA（Service Level Agreement）、有限責任条項などを契約に含めることにより、企業が担うリスクの大きさを制限することができる。自社独自の状況に基づいて、サードパーティーのセキュリティポリシーに従うようアウトソーサーに要求するのも良い方法だ。

ベンダーの選定基準はほかの購買契約の場合と同様

　セキュリティのアウトソーシング契約は、購買契約よりもはるかに詳細にわたる。アウトソーシング契約の複雑さ、範囲、期間、ビジネスリスクは、通常の購買契約の比ではない。重要なビジネスプロセスや技術を外部に委託することで、その企業のリスクプロファイルも変化する。これは、部品調達や人材派遣の契約とは違うのだ。ベンダーを評価する際には、技術力以外の部分にも目を向けることが不可欠である。いわば、そのベンダーとパートナーシップを組むようなものであり、企業文化や考え方が一致していることがアウトソーシング関係を成功に導く重要な要因なのである。

自社のセキュリティ業務の混乱はアウトソーシングで解決できる

　「Garbage In, Garbage Out」（ゴミを入れればゴミが出てくる、つまり不正な入力からは不正な出力しか得られない）という有名な警句がこの場合に当てはまる。企業がしっかりしたセキュリティ業務を確立していない場合でも、アウトソーシングによって業務効果を改善できる可能性はあるが、業務を管理できていないのであれば、アウトソーシングによって状況がさらに悪化するだけだ。このため、アウトソーシングを行う前に業務を強化することが重要だ。アウトソーシングが業務管理の改善につながる場合もあるが、委託するサービスの測定指標と業務プロセス管理が確立していれば、成功する可能性は高い。これに対し、企業がしっかりした業務管理を確立していなければ、アウトソーサーが提供する基準セットに頼らざるを得ない。それが企業の要件に合うこともあれば、そうでないこともある。アウトソーシングに出す前に、可能な範囲内で既存のセキュリティ業務環境の改善を続けることが望ましい。

アウトソーシングはセキュリティ管理導入の近道

　アウトソーシングはマラソンであり、短距離走ではない。業者との関係構築には、相当長期間にわたるスタミナと忍耐力を必要とするのだ。期間を短縮できることもあるが、それはリスクの増大を招くことが多い。まず業者を自社のビジネス戦略に結び付け、そこから関係を構築していくことが大切だ。短期的な成果を目指すのもよいが、業者との関係が成熟するには時間がかかる。セキュリティ業務のアウトソーシングに成功した企業の多くは、安定した関係を築くには半年ないし1年半の期間が必要だと報告している。

　セキュリティのアウトソーシングは、あらゆる企業にお勧めできるというわけではない。アウトソーシングを始める前に、それが自分の会社独自の状況においてどういった影響をもたらすかを注意深く検討する必要がある。重要なのは、業者との関係について非現実的な期待をしないことだ。十分な注意を払い、契約内容に漏れがないことを確認するのも大切だが、それよりもはるかに重要なのは、信頼できる業者を見つけ、絶えず信頼関係を積み重ねていくことである。これはいわば結婚のようなものだ――パートナーを信頼し、辛抱強く良好な関係を築き上げていかなければならないのだ。

本稿筆者のハーリド・カーク氏はForrester Researchの主席アナリスト。情報リスク管理に関する戦略、ガバナンス、ベストプラクティス、測定、リポーティングなどの調査を専門とする。

関連ホワイトペーパー

アウトソーシング | ベンダー | コンプライアンス | セキュリティ対策 | セキュリティポリシー