中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

会員限定
2024/03/04 掲載

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

記事をお気に入りリストに登録することができます。

高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業（SMB）はどこまで対応すればよいのだろうか。

執筆：フリーランスライター中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット（とは言わなかったが）はUUCPのころから使っている。

限られた条件下での中小企業はどのようにサイバー防御をすべきなのだろうか

（Photo/Shutterstock.com）

時代とともに変わるサイバー防御の手法

　2000年前後までは、企業のセキュリティといえばウイルス対策ソフトとファイアウォールが定番だった。言い方を変えれば、それで十分だった時代である。

　しかし、攻撃側の進化に伴い、アンチウイルスはクラウド型、AI実装型へと進化し、ファイアウォールは次世代型（IDS/IPS）、EDR/XDRへと遮断のみから検知・対応型へと進化してきている。

　クラウドコンピューティングの発展とリモートワークは、企業ネットワークの境界という概念を変え、VPNやZTNA（ゼロトラストネットワークアクセス）が前提となった。ファイアウォールやイントラネットという境界防衛の考え方を一変させたのだ。

　もちろんこれだけでは不十分だ。敵を知るにはまず己から。攻撃者視点を取り入れた数々の防御ソリューションやアプローチも広がった。脆弱性診断や侵入テストは、防御が不完全であるという前提でシステムの弱点に向き合う対策手法といえる。

　さらに攻撃を受けてからでは遅いと、攻撃者側の動向を探る脅威インテリジェンスも珍しくなくなった。このアプローチは先制攻撃にもつながるアクティブサイバーディフェンスまでエスカレートしている。

　変化は攻撃者からの外圧によるものだけではない。サイバーセキュリティに関連して個人や民間企業も法律の制限を受けるようになった。

　政府省庁は当然として、関連機関や重要インフラ事業者は、サイバーセキュリティに関連して、対策の義務、インシデント報告の義務などが課される。個人情報保護法では、官民ともに個人データの扱いや管理方法を規定されているのだ。

編集部おすすめ記事

AI開発どうすれば？AWSやGCPらのAIプラットフォームとは？

中小企業が抱える「対策以前の問題」

　社会活動をする上で、サイバーセキュリティは無視できない存在だ。対策も高度化しなければならないが、どこでその予算と人材を確保できるのだろうか？ SMBは、SOCや脅威インテリジェンスの必要性は認識しているが、そのために数千万も数億もかけられないのだ。

　多くの中小企業にとっては、少々高いファイアウォールやMTUを入れ、システムやサービスのアカウント管理や個人情報保護法ポリシーの文書化といったような対応しかできないのが現実だ。

　もちろんこれらの対策こそ必須である。脅威インテリジェンスとて、正しく活用するにはファイアウォールなど基本的な対策がされていることが大前提である。

　商工会議所や業界ISACには、この問題にそれぞれの活動を展開しているところもある。独自のセキュリティサービスやソリューションを提供・あっせんし、コンソーシアムやその作業部会、コミュニティーをつくり、情報共有やリソースの活用を進めている。

　このように、セキュリティ対策は、すべてを自前で行うことは現実的ではなく、アウトソースを含めた横のつながりが大きな役割を果たすのだ。予算や人材という課題に対して銀の弾丸は存在しない。地道にセキュリティ投資の重要性を啓発しつつ、コミュニティーや業界団体など企業・組織を超えたパートナーシップで補っていくしかない。

何ができる？SOCの役割と機能

　アウトソース・横連携の一例としてSOC（Security Operation Center）で考えてみよう。XDR系の検知＋インシデント対応では、自動化が広がっている。広がっているというより、これらは自動化しないと人力での異常検知、攻撃検知はすぐに限界がきてしまうため、自動化する必要がある。

　だが、自動化していても検知した内容によっては人による対応が求められる場合がある。脅威インテリジェンスでは、収集した情報を人間の洞察や直感によって攻撃予測や将来の攻撃に備える解釈を加える必要がある。

　SOCとは、このようなニーズに応えるものだ。組織や企業のネットワークやサーバを24時間監視し、システムの異常や攻撃をいち早く検知する仕組みだ。一般的には、専門のスタッフが常時ネットワークやシステムのログを収集し、常時監視、解析する。大量のログを集中的に管理・分析するため専用のシステムを用意する。

　ログ解析には通常保管されたファイルを対象とするが、リアルタイムのトラフィックモニタリングやログモニタリングを行うこともある。

　自動化された異常検知は、通常膨大な量になるため、検知を自動化できても対応までを自動化できる場合は多くない。重大なアラートに即応するためのフィルタリングやエスカレーション（上位通達）には人の手の介入が欠かせない。

SOCは便利な仕組みだが、そう簡単に導入できるものではない

（Photo/Shutterstock.com）

　SOCの運営にはこれだけのリソースが必要で、効果的に稼働させる相当なスキルを持った要員、ナレッジも必要だ。中小企業はおろか、いわゆる大企業でもおいそれと導入できるものではないだろう。社会にとってセキュリティ対策が必須ならば、SOCは社会インフラとして整備してもおかしくないくらいだが、そうはいかないのが現状だ。【次ページ】タイが始めた「オープンソースSOC」とは？

関連コンテンツ

記事

セキュリティ総論

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク　あらゆるリスクに備える、ゼロトラストの実現企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。

イベント・セミナー

オンライン 2024/05/21開催

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか？当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。

イベント・セミナー

オンライン 2024/05/31開催

”最も重要なことから始めよ”　引き算でデザインするセキュリティ戦略の新標準

本セミナーは2024年2月9日(金)に開催したセミナーと同じ内容となります。情報セキュリティを管轄する部門にとって最も重要なことは何でしょうか？そしてその「最も重要なこと」は事業部門、経営層と一致しているでしょうか。この根深い問題をしっかりと把握している企業は追加コストの対策型セキュリティではなく、サイバー上の「ビジネスリスク」として事業戦略とリンクして投資をされようとしています。本セミナーでは、デジタル化を推進される方を対象に、最先端の情報を踏まえつつ、転換に向けた新標準となるアプローチをご紹介します。

あなたの投稿

ようこそゲストさん

フォローの多い人気のタグ

注目のイベント・セミナー