「サイバーセキュリティチーム」をクラウド、モバイル、IoT担当に分けるべきなのか？：注力分野を分ける

1つのリスク領域に特化した専門のセキュリティチームを編成することで企業の攻撃対象領域は削減できるのか。本稿では、情報セキュリティの専門家が、このアプローチのメリットとデメリットについて解説する。

≫ 2017年06月26日 09時00分公開

[Steven Weil，TechTarget]

印刷／PDF

専門のセキュリティチームを編成するメリット

　専門のセキュリティチームを編成する大きなメリットは、企業が、クラウドアプリケーションへの攻撃といった特定の脅威やリスクに対する防御に関して深い知識を持つ専門家を社内に配置できるようになることだ。クラウドアプリケーションを保護するために必要な知識は、IoTデバイスを保護するために必要な知識とは大きく異なる。一般的なセキュリティチームと比較して、専門のセキュリティチームは特定のリスク領域に対する防御能力が優れている。

　専門のセキュリティチームを編成するもう1つのメリットは、サイバーセキュリティチームが、サイバーセキュリティテクノロジー、リスク、脅威に関して受け取る膨大な量の情報を処理する上で役立つことにある。サイバーセキュリティチームのメンバーが持っている知識の範囲が狭くて浅いのは、珍しいことではない。専門家をチームに編成することで、サイバーセキュリティチームは受け取った情報をより適切に処理し、情報に基づいて行動できるようになる。

専門のセキュリティチームを編成する潜在的なデメリット

　多くの企業にとって、サイバーセキュリティチームを特定のリスク領域ごとに編成するのは現実的ではない。なぜなら、小規模なサイバーセキュリティチームを用意するので精いっぱいだからだ。サイバーセキュリティへの予算が潤沢な企業でも現実は厳しい。現在、専門のチームに配置する専門スキルを持った人材は限られており、そうした人材の需要は高い。

　専門のセキュリティチームを編成する重大なデメリットは、こうしたチームがリスクの特定の領域にしか気を配らない自己中心的なチームになる可能性があることだ。それにより、企業にとって重大で総合的なサイバーセキュリティのリスクに適切に対処できなくなる恐れがある。さらに、サイバーセキュリティチームの時間とコストが非効率的かつ無駄に消費される可能性もある。

　それから、サイバーセキュリティチームの細分化により、企業のサイバーセキュリティ制御が補完的でなくなる可能性もある。例えば、モバイルデバイスの制御がクラウドやIoTの制御と連携しない場合などだ。

　専門のセキュリティチームを編成することで生じるデメリットは他にもある。仮想現実など新しい主なリスク領域が出現した場合、企業は専門のチームを追加で編成し、サイバーセキュリティチームをさらに細分化しなければならない。

あるべきアプローチ

　サイバーセキュリティに関する多くのベストプラクティスと原則は、現在および将来の複数のリスク領域に適用することができる。具体的には、最小権限、ロールベースのアクセス制御、強固な認証、詳細なログ記録などだ。

　多くの企業では、最高情報セキュリティ責任者（CISO）の監督下に最低でも次の4つのチームを備えた柔軟で統一的な枠組みのサイバーセキュリティチームを編成することを推奨したい。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

会員登録（無料）が必要です

鬩搾ｽｯ陞｢�ｹ遯ｶ�ｳ驛｢�ｧ陞ｳ螟ｲ�ｽ�ｪ�ｽ�ｭ驛｢�ｧ�つ

TechTargetジャパントップセキュリティ