アウトソースとインソースにバランスを～サイバーセキュリティ運用業務の外部委託を考える～

資料をダウンロード

「サイバーセキュリティでアウトソースすべきこと、すべきではないこと」を専門家が解説

トレンドマイクロ主催のサイバーセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan」では、法人組織の課題解決につながるような知見や視点が専門家から共有されるセッションがありました。
昨今、サイバーインシデントがビジネスに与える影響を最小化することが喫緊の経営課題です。しかしながら、サイバーセキュリティ運用業務は専門性が高く経験も必要であるため、自組織内での対応が難しく、外注化を検討している組織も多いでしょう。では、どのようにアウトソーシングの方向性を考えればよいでしょうか？

トレンドマイクロで長年、多くのお客様にサイバーセキュリティ対応体制の計画、設計、運用の支援を行ってきたセキュリティ運用の専門家、川越理人（かわごえ・まさと）が「サイバーセキュリティでアウトソースすべきこと、すべきではないこと」と題してセッションを行い、重要な3つのポイント、①アウトソースする業務を把握する、②アウトソースに求めるべき体制を把握する、③インソースに求められる業務と体制を把握する、についてデータも交えながら解説しました。

アウトソースとインソースのバランスが重要

まず川越は、これまで多くのお客様に支援を行う中で、共通する課題として「セキュリティ運用業務全般をアウトソーシングしてしまうと、業務管理ができなくなる」という点に気づいた、と切り出しました。フルアウトソースの弊害には、社内のセキュリティ人材が育たない、業務構造が把握できないためにコスト構造も不透明になる、運用改善が進まない、テクノロジーの進化についていけなくなる、なども挙げられます。
確かに、すべてのセキュリティ業務をアウトソースのみ、またはインソースのみで対応し成功している組織もあります。ただ、それは極めて高度な管理能力、強固な契約、組織全体の合理性などによって成り立っていると考えられ、他の多くの組織にとっては現実的ではないでしょう。
また、仮にフルアウトソースによって運用業務から逃れられたとしても、自組織のサイバーセキュリティに対する社会的責任から逃れることはできません。事業経営への責任として必ずついて回るものです。したがって、インソースで責任を果たす業務と、アウトソースを活用していく業務の、バランスを良くしていくことがポイントになります。

専門性の高い業務はアウトソースを検討

続いて、セキュリティ業務の全体像を、NISTサイバーセキュリティフレームワークの「統治」「特定」「防御」「検知」「対応」「復旧」に当てはめて見ていきます。さらにこれらを、「運用の状態（平時・有事）」を横軸とし、「業務知識」を縦軸としてマッピングした場合、「防御」「検知」「対応」「復旧」は、有事であれ平時であれ、サイバーセキュリティの高度な知識・スキル・経験が必要な業務であるため、専門家へのアウトソーシングを検討すべきと考えられます。一方、事業・組織固有の知識や経験が必要な分野はインソースで行うべきでしょう。

「防御」「検知」「対応」「復旧」はセキュリティの専門家へのアウトソーシングを検討すべき

また、トレンドマイクロと特定非営利活動法人CIO Loungeが協同で行った調査によれば、「検知」「対応」「復旧」のセキュリティ成熟度が低いほどサイバー攻撃による業務停止期間が長くなることが示されています。これらの領域のセキュリティ成熟度が低くなる要因は、対応を行う人材、判断に必要な知識やスキルが不足しがちな領域であるためと考えられます。こうしたデータからも、自組織に不足しているものを補うためのアウトソースの必要性がお分かりいただけると思います。

続いて、アウトソースに求めるべき体制を把握するため、Trend Vision OneのXDR機能を用いてデモを行い、「検知」「対応」「復旧」の局面でSOCの担当者が行っている作業のイメージを伝えました。
このデモから、アウトソースに求めるべき体制として、24時間365日の監視体制、膨大なログから脅威ハンティングを行う高度な分析能力や脅威についての知見を備えたチーム、インシデント下の十分な対応人材などが必要であることを説明しました。

インソースでの業務対応とそのメリット

インソースで対応すべき業務として、平時にはセキュリティ運用の管理・評価やリスク管理、有事にはインシデントの管理、意思決定、関連組織との連絡体制構築などを挙げました。これらをインソースで対応するメリットとして、①組織内部のニーズや環境の変化に応じて、セキュリティ管理の範囲を柔軟かつ迅速に調整できる、②事業形態や業種などにより直面するサイバー脅威やリスクが異なるため、自組織の状況に即した対応ができる、③運用業務を定性的、定量的に管理・評価ができるようになり、その結果、インシデント発生確率を下げ、インシデント時の対応時間とコストを削減できる、④運用業務を管理・評価する人材を育成できる、などがあります。

トレンドマイクロでは、MDR（Managed Detection and Response）であるTrend Service Oneもご用意しています。24時間×365日の監視、脅威ハンティング、インシデント時の対応復旧支援、セキュリティ人材育成支援、セキュリティ運用プロセス作成支援なども提供しています。こうしたサービスも検討いただきながら、ご自分の組織のサイバーセキュリティ対応体制強化のヒントを、当セッションから得ていただければ幸いです。