情報セキュリティの常識が変わりつつある。標的型攻撃をはじめとする、ファイアウォールやウイルス対策といった古典的なセキュリティ対策では防げないサイバー攻撃が世間を騒がせている。
こうした中で、CSIRT(Computer Security Incident Response Team、インシデントに対応する内部組織)やプライベートSOC(Security Operation Center、ログ監視などで攻撃を早期発見する組織)など、攻撃を受けたときに素早く対処するための組織の構築が、企業に求められるようになってきた。
CSIRTやSOCを構築する上で障壁となるのは、人材と予算だ。ほとんどのユーザー企業ではセキュリティに従事する人材と、セキュリティにかけられる予算が不足している。
ただしこれらの問題は、工夫次第で解決の糸口もつかめる。今後は、これまで国内のユーザー企業が予算を振り向けてこなかった新分野にも予算を割くことが望ましい。
人材登用には二つのベストプラクティス
セキュリティへの取り組みの障壁の一つめは、人材難だ。情報システム部門に在籍するセキュリティ担当者の数を調査してみたところ、4人以上と回答した企業が半分を占めており、人数自体は多いことが把握できた。しかし、これら担当者の多くはCSIRTやSOCを経験したことがない。何らかの教育を受け、資格を取得すると、社内からCSIRT管理者が誕生するというわけではない。現時点ではこうした教育や資格の制度もないため、企業側が『人材登用』に関して、手探りの状態にある。こうした状況の下で人材難を解消する手段は、人材を外部から連れてくること以外にはない。
CSIRTを構築できる人材を外部から連れてくるには、大きく二つの方法がある。一つは、情報システム子会社のセキュリティ担当者を本社の情報システム部門に登用する方法だ。(その人物は、できれば営業系がよい)マネジメントができ、親会社の役員などと会話できるからだ。この好例といえるのがANAシステムズの阿部恭一氏だ。阿部氏は、営業系ではなく、技術系出身だが、親会社の全日本空輸(ANA)でセキュリティ組織を先導している。
もう一つは、セキュリティを担わせる組織として、外部のセキュリティ専門会社と一緒に子会社を作る方法だ。このメリットは、長期間のコンサルティング契約よりも、総合的にグループ企業に予算を振り向ける点で、企業としてメリットがある。コンサルティングを長期契約する策は、コスト面で厳しいため、共同で子会社を作りその能力を持った人材を内部に抱え込むほうがよい。こうした方策を採ったのが、ベネッセホールディングスがラックと作った子会社(ベネッセインフォシェル)だ。