| Symantec Security Response Weblog |
April 16,2009 Posted by Grant Geyer
筆者は,組織のセキュリティ担当者に「ITセキュリティを取り巻く環境」,「サイバー攻撃で生ずる被害」,「サイバー・セキュリティ対応を迫られる組織における問題」について尋ね,それを基にまとめた調査レポートの内容を,3回にわたってブログ記事で紹介した。当記事では締めくくりとして,セキュリティ管理のアウトソーシングについて考えてみよう。
サイバー攻撃が損失につながるという事実と,現在の景気低迷(さらに,景気低迷で強まる経費削減の圧力)という状況を合わせて考えると,「米国では企業などの61%がITセキュリティ業務をセキュリティ・サービス業者(MSSP:managed security service provider)に任せているか,依頼を検討している」という調査結果も納得できる。調査対象としたセキュリティ担当者たちは,アウトソーシングに切り替える理由として「24時間365日の運用」(55%),「セキュリティの専門知識入手」(48%),「全体的なコスト削減」(46%)を挙げた。興味深いことに,欧州の組織は77%がアウトソーシングしており,その割合は米国(61%)よりも高い。
もちろん,セキュリティ分野でのアウトソーシングは,監視などの業務以外(例えば,セキュリティ戦略やポリシー,制御の立案)では役に立たない。実際,調査でアウトソーシングを検討している対象業務について尋ねたところ,「セキュリティ監視」(53%),「セキュリティ管理」(52%),「ID/アクセス管理」(54%)という回答が多かった。また興味深いことに,回答者の31%は「セキュリティ・アウトソーシングの一環として,IT業務のフルアウトソーシングを検討している」と答えた。つまり,インハウスでのIT管理にこだわる理由はセキュリティだけとは限らないということだ。
セキュリティ監視/管理業務に深く携わり,数年前からMSSPのサービスを提供してきた筆者の見解は,従来と同様のリスク・アセスメントを行わない限りアウトソーシングするかどうか決定できないということだ。組織内の重要な資産,脅威やセキュリティ・ホールについてきちんと理解しないと,リスクを受け入れるか,緩和するか,排除するか,移動するかといった判断を下せない。様々なセキュリティ・リスクを緩和するためにMSSPと契約するという選択は,組織によっては,コストと価値の両面で非常に高い効果をもたらしてくれる。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Outsourcing Security Monitoring」でお読みいただけます。
