丸投げできるわけではない情報セキュリティのアウトソーシングをめぐる誤解

セキュリティのアウトソーシングを始めるなら、それが自分の会社独自の状況にどういった影響をもたらすかを検討する必要がある。

[Khalid Kark，TechTarget]

　数年前まで、セキュリティ管理は神聖視されていた。非常に重要な業務なので、外部の業者に委託するなどもってのほかと考えられていたのだ。業者がミスをしようものなら、ネットワーク境界部の防御が穴だらけになったり、機密データが社外に流出しかねないというわけだ。

　しかし今日、攻撃はいっそう巧妙化し、悪質なハッカーはさらに賢くなっている。また、数々の厳しい法規制の中、どの企業においてもセキュリティ侵害は深刻な問題につながる。加えて企業のIT環境はますます複雑化し、従来の防御手段では組織を十分に防ぎきれない。

業者の支援を必要とするのは

　こういった問題に対処するために、CISO（情報セキュリティ最高責任者）たちは、以下の分野でセキュリティ管理を強化するためにアウトソーシングに頼ろうとしている。

複雑化する脅威の分析および抑止

　CISOたちは、攻撃の複雑性およびゼロデイ脆弱性攻撃の増加に脅威を感じている。中でも最も厄介なのがターゲット型攻撃である。これは、特定の企業や組織の顧客あるいは従業員にわなを仕掛けることを狙った攻撃だ。犠牲者のマシン内で自らの存在を隠す攻撃ツールであるrootkitは2006年以来、攻撃者の間でポピュラーな戦略となっており、検出・除去するのが極めて難しいことで知られている。もはや新たな脆弱性を把握し、それに応じて必要な構成変更やパッチ適用を行うだけでは不十分なのだ。CISOが複雑な脅威を事前に抑止するための戦略を立案するには支援が必要となる。

セキュリティ指標の測定、把握、報告

　経営トップはセキュリティ予算の割り当てに際して納得のいく説明を求める。また、彼らは定期的な進ちょく状況報告もCISOに要求する。取引先からもセキュリティ対策に関する報告が求められるだろう。明確な指標プログラムがあれば、こういった要求に対応できるだけでなく、CISOがセキュリティプログラム効果を測定することも可能になる。CISOがセキュリティ指標を利用して、セキュリティへの取り組み状況の測定、目標の設定、進ちょく状況の把握、セキュリティプロジェクトの優先順位の設定、セキュリティ投資の理由付けといった作業を行うには支援が必要になる。

ライフサイクルを通じた情報の保護

　政府による法規制に加え、データ流出やなりすましなどをめぐる事件が盛んに報道される中、企業に対して情報保護対策の強化を求める圧力が高まっている。CISOたちは、顧客、財務、医療、従業員などに関するデータの保護を求める新しい法規制に対応するのに苦労している。この問題を部分的に解決するのに利用できる技術は、暗号化、エンドポイントセキュリティ、情報漏えい防止（ILP）など多数存在する。強力な認証／ID／アクセス管理は、これらの技術を補強することでライフサイクル保護を実現する可能性がある。しかし、こういった技術を連係・運用するとともに、不備がないことを確認するために監査を行うのは、大きな負担になり得る場合がある。情報の特定、分類、処理、追跡、保存、廃棄を含めた総合的な戦略と強力なプロセスを策定するに当たっても、CISOは支援を必要とする。

　セキュリティ機能のアウトソーシングは、こういったセキュリティプログラムの要件を満たす上での負担を軽減する魅力的な手段である。しかし、ITアウトシーシング全般について言えることだが、十分に熟慮した上で判断を下すことが必要だ。

関連ホワイトペーパー

アウトソーシング | ベンダー | コンプライアンス | セキュリティ対策 | セキュリティポリシー