ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2024/03/04 掲載

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
1
会員になると、いいね!でマイページに保存できます。
高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業(SMB)はどこまで対応すればよいのだろうか。
執筆:フリーランスライター 中尾 真二
photo
限られた条件下での中小企業はどのようにサイバー防御をすべきなのだろうか
(Photo/Shutterstock.com)
<目次>
  1. 時代とともに変わるサイバー防御の手法
  2. 中小企業が抱える「対策以前の問題」
  3. 何ができる?SOCの役割と機能
  4. タイが始めた「オープンソースSOC」とは?
  5. “万能ではない”からこその対策を

時代とともに変わるサイバー防御の手法

 2000年前後までは、企業のセキュリティといえばウイルス対策ソフトとファイアウォールが定番だった。言い方を変えれば、それで十分だった時代である。

 しかし、攻撃側の進化に伴い、アンチウイルスはクラウド型、AI実装型へと進化し、ファイアウォールは次世代型(IDS/IPS)、EDR/XDRへと遮断のみから検知・対応型へと進化してきている。

 クラウドコンピューティングの発展とリモートワークは、企業ネットワークの境界という概念を変え、VPNやZTNA(ゼロトラストネットワークアクセス)が前提となった。ファイアウォールやイントラネットという境界防衛の考え方を一変させたのだ。

 もちろんこれだけでは不十分だ。敵を知るにはまず己から。攻撃者視点を取り入れた数々の防御ソリューションやアプローチも広がった。脆弱性診断や侵入テストは、防御が不完全であるという前提でシステムの弱点に向き合う対策手法といえる。

 さらに攻撃を受けてからでは遅いと、攻撃者側の動向を探る脅威インテリジェンスも珍しくなくなった。このアプローチは先制攻撃にもつながるアクティブサイバーディフェンスまでエスカレートしている。

 変化は攻撃者からの外圧によるものだけではない。サイバーセキュリティに関連して個人や民間企業も法律の制限を受けるようになった。

 政府省庁は当然として、関連機関や重要インフラ事業者は、サイバーセキュリティに関連して、対策の義務、インシデント報告の義務などが課される。個人情報保護法では、官民ともに個人データの扱いや管理方法を規定されているのだ。
編集部おすすめ記事

「指示待ち部下」にモヤる上司の大盲点、「自発的に動く」ようになるシンプル解決法

中小企業が抱える「対策以前の問題」

 社会活動をする上で、サイバーセキュリティは無視できない存在だ。対策も高度化しなければならないが、どこでその予算と人材を確保できるのだろうか? SMBは、SOCや脅威インテリジェンスの必要性は認識しているが、そのために数千万も数億もかけられないのだ。

 多くの中小企業にとっては、少々高いファイアウォールやMTUを入れ、システムやサービスのアカウント管理や個人情報保護法ポリシーの文書化といったような対応しかできないのが現実だ。

 もちろんこれらの対策こそ必須である。脅威インテリジェンスとて、正しく活用するにはファイアウォールなど基本的な対策がされていることが大前提である。

 商工会議所や業界ISACには、この問題にそれぞれの活動を展開しているところもある。独自のセキュリティサービスやソリューションを提供・あっせんし、コンソーシアムやその作業部会、コミュニティーをつくり、情報共有やリソースの活用を進めている。

 このように、セキュリティ対策は、すべてを自前で行うことは現実的ではなく、アウトソースを含めた横のつながりが大きな役割を果たすのだ。予算や人材という課題に対して銀の弾丸は存在しない。地道にセキュリティ投資の重要性を啓発しつつ、コミュニティーや業界団体など企業・組織を超えたパートナーシップで補っていくしかない。

何ができる?SOCの役割と機能

 アウトソース・横連携の一例としてSOC(Security Operation Center)で考えてみよう。XDR系の検知+インシデント対応では、自動化が広がっている。広がっているというより、これらは自動化しないと人力での異常検知、攻撃検知はすぐに限界がきてしまうため、自動化する必要がある。

 だが、自動化していても検知した内容によっては人による対応が求められる場合がある。脅威インテリジェンスでは、収集した情報を人間の洞察や直感によって攻撃予測や将来の攻撃に備える解釈を加える必要がある。

 SOCとは、このようなニーズに応えるものだ。組織や企業のネットワークやサーバを24時間監視し、システムの異常や攻撃をいち早く検知する仕組みだ。一般的には、専門のスタッフが常時ネットワークやシステムのログを収集し、常時監視、解析する。大量のログを集中的に管理・分析するため専用のシステムを用意する。

 ログ解析には通常保管されたファイルを対象とするが、リアルタイムのトラフィックモニタリングやログモニタリングを行うこともある。

 自動化された異常検知は、通常膨大な量になるため、検知を自動化できても対応までを自動化できる場合は多くない。重大なアラートに即応するためのフィルタリングやエスカレーション(上位通達)には人の手の介入が欠かせない。

画像
SOCは便利な仕組みだが、そう簡単に導入できるものではない
(Photo/Shutterstock.com)

 SOCの運営にはこれだけのリソースが必要で、効果的に稼働させる相当なスキルを持った要員、ナレッジも必要だ。中小企業はおろか、いわゆる大企業でもおいそれと導入できるものではないだろう。社会にとってセキュリティ対策が必須ならば、SOCは社会インフラとして整備してもおかしくないくらいだが、そうはいかないのが現状だ。 【次ページ】タイが始めた「オープンソースSOC」とは?

関連コンテンツ

JALのセキュリティマネジメント「弱点は人」と断言するワケ、3つの具体策も解説

なぜ「闇バイト強盗」対策で「時間稼ぎ」が有効?サイバー視点で防犯対策を考えてみた

東海大・三角教授が「経験」基に徹底解説、生成AIなど「リスクマネジメント」実践手順
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample