高度なサイバーセキュリティの知識・経験を有する人材を雇用するハードルは年々高まっており、中堅・中小企業ではその採用はおろか、育成も容易ではない。そうした状況に対応すべく活用が広がるセキュリティマネージドサービスやMDRの概要をはじめ、関連するサービスの導入において整理すべきポイントについて解説する。
セキュリティ人材不足は恒久的な問題に
企業経営におけるサイバーセキュリティ対策を取り巻く環境は近年、大きな変化を迎えている。コロナ禍を経て浸透したリモートワークや国策によるデジタル活用の推進などを背景に、業務のデジタル化(デジタイゼーション)の範囲も年々広がりを見せている。その一方で、こうした状況を好機と捉えたサイバー攻撃が増加の一途を辿っている。
また、昨今の企業ではガバナンス重視の風潮も相まって、サイバーセキュリティに関するリスクマネジメントの重要性も高まっている。従来のように、IT部門に一任しておくだけでは済まされず、事業計画と一体で捉え、対応していくことを余儀なくされている。
このような社会の根本的な変化に伴い、企業経営においてサイバーセキュリティは重要な経営課題の1つとなっている。そのため、人材の確保を含めて、セキュリティ投資に力を入れている企業も少なくない。その結果、サイバーセキュリティ領域を専門とする人材不足がより顕著となっている。また、セキュリティ人材の平均年収も上昇傾向にあることから、雇用すること自体のハードルも高くなっている。
そのため、中堅・中小企業は、大企業よりも求人市場において不利な条件に立たされがちだ。捻出できる予算が限られているだけでなく、その多くの企業のネームバリューが高くないことから、求職者から選ばれづらいという厳しい現実があるためだ。
セキュリティ人材の総数自体は増加傾向にある。しかし、それ以上のニーズを受けて人材不足の傾向は解消する目途が立たず、当面は人材不足が継続していくことが見込まれている。特に中堅・中小企業では、セキュリティ対策の強化や社内体制の整備において、直接的に雇用する以外の選択が求められつつあると言える。
中堅企業におけるセキュリティ対策構築のポイント
先述のとおり、企業経営においてガバナンスの重要性が高まっている。その理由は、昨今のサイバー攻撃の事例からもわかるように、万が一インシデントが発生してしまった場合、企業経営のさまざまな面に甚大な悪影響を与えかねないためだ。
そして、ほとんどの企業・組織がインターネットに接続しているため、インシデントは自社内だけにとどまらず、関連会社、取引先、エンドユーザーなどに及ぶ恐れがある。その代表的なものがサプライチェーン攻撃であり、サプライチェーンに対するリスクマネジメントの重要性も着実に認識されつつある。
2024年に大きく改訂されたNIST(米国立標準技術研究所)のサイバーセキュリティフレームワーク 2.0では、サイバーセキュリティ体制の構築にガバナンスを組み込むこと、サプライチェーンのリスクマネジメントを重視することが大きなトピックとなっている。
こうした動向を踏まえても、セキュリティ対策は自社の企業経営に密接に関わることもあって、自社で主体的に取り組んでいくことが求められていると言えるだろう。DX(デジタルトランスフォーメーション)といった大きな潮流の中で、企業においても着実にデジタルの活用、内製化などへの意識も高まり、取り組みも加速している。こうしたケースでは、自社の状況を適切に評価しながら外部のサービスや専門家を選定、適切に活用していくことがその後の成否に大きく関わることになる。
サイバーセキュリティにおいても同様の動きが企業には求められており、積極的に課題と向き合いながら、自社が主導してセキュリティ体制を構築していくことが重要なのだ。
セキュリティ人材不足で注目を集めるマネージドサービス
セキュリティ体制の構築が企業経営と密接にリンクした問題となっている一方、中堅・中小企業でセキュリティ人材を直接雇用・育成していくことが非常に困難になっている背景は先述のとおりだ。つまり、求人市場ではIT系の人材をめぐって争奪戦が起こっている様相であり、中でもセキュリティ人材はその稀少性もあって、採用のハードルが高まっているのだ。
そうした状況を背景に近年では、セキュリティ専門の企業から「マネージドサービス」が提供されている。セキュリティに特化したマネージドサービスはMSS(Managed Security Service:マネージドセキュリティサービス)、また、その提供事業者はMSSP(Managed Security Service Provider)と呼ばれる。
提供企業によってサービス内容は異なるが、一般的には社内に設置したセキュリティ機器やソリューション、ネットワークなどの設定や運用業務を担うことが多い。「フルマネージドサービス」の場合、24時間365日の常時監視や、インシデント発生時の対処までを含むサービスもある。
そして近年、注目を集めているマネージドサービスがMDRだ。MDR(Managed Detection and Response)とは、エンドポイントやネットワークの監視・検知を担う事後対策のEDR、XDRといった高度な専門性が要求されるセキュリティソリューションの運用を、企業の代わりにセキュリティ専門の事業者が行うマネージドサービスである。
また、インシデントが発生した場合に、脅威の隔離・駆除に至るまでサービス範囲とするMDRも存在する。このようにMDRの導入で自社のセキュリティ体制に不足している部分を補完することで、セキュリティリスクへの適切な対処が可能となるのだ。
先述のサプライチェーン攻撃にとどまらず、ランサムウェアの蔓延、そして標的型メールを用いた攻撃など、企業を狙うサイバー攻撃は巧妙化・高度化の一途を辿っている。こうした環境の変化に対応するために、企業におけるMDRの活用が広がっている。
MDRを活用したセキュリティ体制の構築
高度かつ巧妙なサイバー攻撃への対抗策として活用が進むMDRの特長は以下のとおりだ。
高度な攻撃手法への対応
EDR、XDRといった高度なセキュリティソリューションを専門知識・経験を有するセキュリティ人材が設定・運用することで、強固なセキュリティ体制を構築できる。また、セキュリティ体制の最適解は企業の置かれた環境、状況によって変わることから、それぞれの企業における最適なチューニングを行う必要があるが、MDRではこうした範囲までを支援範囲に含むサービスもある。
24時間365日での常時監視、対応
サイバー攻撃は日時を問わずに発生する。サイバー攻撃は攻撃者の都合で行われ、始まるや否や一刻の猶予もなく迅速な対応が求められる。セキュリティソリューションによる常時監視を行うことで、速やかな初動対応が可能となり、被害の最小化につなげる。
インシデント発生時の対応力
MDRでは専門性が高い、外部の専任チームがインシデント発生時に対応にあたる。また、先述のとおり、常時監視で異常を検知し、迅速に対処することで、被害の最小化を目指す。そのため、通常業務への影響を限定的に抑制することが可能だ。
大企業など、セキュリティ投資の余力がある組織では、自社内にSOC(Security Operation Center)を構築することでMDRが担う範囲への対処が可能かもしれない。しかし、そうした原資が限られる中堅・中小企業であっても、MDRを導入することでセキュリティ人材を直接雇用せずに、高度なセキュリティ体制を構築することが可能となるのだ。
例えば、「ESET PROTECT MDR」では、XDRだけでなく侵入前対策のエンドポイント保護(EPP)や、24時間/365日にて監視・運用を国内拠点で日本語対応を行うマネージドサービスだ。その対応範囲は図1のように、脅威の隔離・駆除、そして日常的な予防段階における、ソリューションを用いた常時監視およびその設定、レポーティング業務などまで広範囲に及ぶ。また、導入企業の状況に合わせ、監視ソリューションのアラート発出などのカスタマイズも対応可能だ。
こうした高度な専門性が求められる業務をアウトソーシングすることで、専門性の高い人材の採用ができずとも、高いレベルのセキュリティ体制を構築できるのだ。しかし、インシデント発生時における経営判断や、各所ステークホルダーとのコミュニケーションなど、外部に委ねられない責任が伴う業務については当然ながら自社で対応することになる。
そのため、MDRなどマネージドサービスの導入にあたっては、まず自社でどのような領域までの対応が可能かを整理しなければならない。また、中長期の経営を見据えて、自社でどのような領域までカバーすべきかを考察することも求められるだろう。
中堅・中小規模の企業では、予算も人材も限りある中で適切な経営資源の配分が求められる。自社の事業展開の先々を見据え、セキュリティ体制の構築を考えていく必要があるだろう。その選択肢の1つとして、MDRなどマネージドサービスの活用も検討するようにしたい。