「サイバーセキュリティチーム」をクラウド、モバイル、IoT担当に分けるべきなのか？：注力分野を分ける

1つのリスク領域に特化した専門のセキュリティチームを編成することで企業の攻撃対象領域は削減できるのか。本稿では、情報セキュリティの専門家が、このアプローチのメリットとデメリットについて解説する。

[Steven Weil，TechTarget]

セキュリティチームの編成はどうあるべきか《クリックで拡大》

　多くの企業では、サイバー攻撃の対象領域が着実に拡大している。というのも、ノートPCやデスクトップPCといった従来のエンドポイント端末やサーバの保護に加えて、クラウドアプリケーション、モバイルデバイス、モノのインターネット（IoT）デバイスを攻撃から保護しなければならないからだ。企業は、こうした無数の脅威に対処するサイバーセキュリティチームの最適な配置方法を解明しようとしている。

　検討されつつあるアプローチは、クラウド、モバイルデバイス、IoTなどといった主なリスク領域に特化した専門のグループにサイバーセキュリティチームを細分化するというものだ。この組織的なモデルでは、サイバーセキュリティチームが分割される。このようなアプローチのメリットとデメリットは何だろうか。本稿では、それを解説する。

関連記事

今、セキュリティチームが取り組むべき課題は？

• 「クラウドセキュリティ最高責任者」が次の花形に、求められるスキルとは？
• 「クラウドセキュリティ」が2017年の“ホット”なIT投資先に、その背景は？

強いセキュリティチームを作る

• セキュリティチームと経営者の間にある“嘆かわしきギャップ”が大事故を招く
• セキュリティチームの力を底上げする「インシデントレスポンスツール」とは？

専門のセキュリティチームを編成するメリット

　専門のセキュリティチームを編成する大きなメリットは、企業が、クラウドアプリケーションへの攻撃といった特定の脅威やリスクに対する防御に関して深い知識を持つ専門家を社内に配置できるようになることだ。クラウドアプリケーションを保護するために必要な知識は、IoTデバイスを保護するために必要な知識とは大きく異なる。一般的なセキュリティチームと比較して、専門のセキュリティチームは特定のリスク領域に対する防御能力が優れている。

　専門のセキュリティチームを編成するもう1つのメリットは、サイバーセキュリティチームが、サイバーセキュリティテクノロジー、リスク、脅威に関して受け取る膨大な量の情報を処理する上で役立つことにある。サイバーセキュリティチームのメンバーが持っている知識の範囲が狭くて浅いのは、珍しいことではない。専門家をチームに編成することで、サイバーセキュリティチームは受け取った情報をより適切に処理し、情報に基づいて行動できるようになる。

専門のセキュリティチームを編成する潜在的なデメリット

　多くの企業にとって、サイバーセキュリティチームを特定のリスク領域ごとに編成するのは現実的ではない。なぜなら、小規模なサイバーセキュリティチームを用意するので精いっぱいだからだ。サイバーセキュリティへの予算が潤沢な企業でも現実は厳しい。現在、専門のチームに配置する専門スキルを持った人材は限られており、そうした人材の需要は高い。

　専門のセキュリティチームを編成する重大なデメリットは、こうしたチームがリスクの特定の領域にしか気を配らない自己中心的なチームになる可能性があることだ。それにより、企業にとって重大で総合的なサイバーセキュリティのリスクに適切に対処できなくなる恐れがある。さらに、サイバーセキュリティチームの時間とコストが非効率的かつ無駄に消費される可能性もある。

　それから、サイバーセキュリティチームの細分化により、企業のサイバーセキュリティ制御が補完的でなくなる可能性もある。例えば、モバイルデバイスの制御がクラウドやIoTの制御と連携しない場合などだ。

　専門のセキュリティチームを編成することで生じるデメリットは他にもある。仮想現実など新しい主なリスク領域が出現した場合、企業は専門のチームを追加で編成し、サイバーセキュリティチームをさらに細分化しなければならない。

あるべきアプローチ

　サイバーセキュリティに関する多くのベストプラクティスと原則は、現在および将来の複数のリスク領域に適用することができる。具体的には、最小権限、ロールベースのアクセス制御、強固な認証、詳細なログ記録などだ。

　多くの企業では、最高情報セキュリティ責任者（CISO）の監督下に最低でも次の4つのチームを備えた柔軟で統一的な枠組みのサイバーセキュリティチームを編成することを推奨したい。