- 2024/11/27
- セキュリティ
サイバーセキュリティ運用は自社で?それとも外部委託?最適解を探る
Post by : Greg Day
アルベルト・アインシュタインの言葉のひとつに、「狂気とは即ち、同じ事を繰り返し行い、違う結果を期待すること」というものがあります。実際に彼がこれを言ったかは議論の余地がありますが、確かに的を射ています。
数十年前、政府と協力して教育カリキュラムを見直し、サイバーセキュリティのスキルを持つ人材を育成し、増やすという非常に恵まれた仕事に就くことができました。それ以来、英国ではサイバーセキュリティを教える中核的研究拠点(CoE:センターオブエクセレンス)の数が劇的に増加し、それに伴い需要も高まっています。
現在、多くの企業が伝統的なサイバーセキュリティ教育を受けた人材だけでなく、他分野からも優秀な人材を求めています。例として、Jane Frankland氏の長年にわたり推進してきた、サイバーセキュリティ分野に女性を増やす活動が挙げられます。
ISC2によると、CEOのClar Rosso氏は「サイバーセキュリティの分野の新たな専門家の数が過去最高を記録した一方で、実際には、この分野の人材を倍増させない限り、組織や重要な資産の保護は不可能である」と述べています。また、調査対象者のうち「41%が有能な人材が不足している、34%が予算の制約、27%が離職率の多さを課題として挙げています。」
私(Greg Day:CybereasonのEMEA地域を統括するVP・Global Field CISO)といえば、サイバータイムパラドクスについてよく話すことで知られています。一方では、業界に教育を受けた人材を増やしていますが、他方では、企業がさらに多くのプロセスをデジタル化した結果、分析すべきサイバーセキュリティのデータが増加しています。
同時に、攻撃数も増え、毎年サイバーセキュリティ業界は新たな攻撃検出と対応方法を考案しています。それに伴いデータ量も増加しています。このことは、作業量が熟練スタッフの数を遥かに上回って増え続けていることを示唆しています。さらに、企業の迅速な対応の期待が状況悪化を招いています。企業のデジタル依存度が高まるにつれ、これらのリソース不足により許容時間も短くなっています。
今日の状況を受け、次の疑問が浮かび上がります。自社のサイバーセキュリティスタッフが担うべき業務と、結果重視のために外部委託すべき業務は何でしょうか?外部委託は決して新たなことではなく、1990年代後半にはすでに多くの企業がメールコンテンツフィルタリングを委託し始めていました。当時、多くがデータプライバシーに懸念を抱いていましたが、現在ではデータプライバシー法が整備されたため、依然として外部委託されています。
近年、どこでも働ける環境へのシフトやクラウドベースのコラボレーション、クラウドコンピューティングの普及に伴い、SASE(Secure Access Service Edge)が急成長しています。実際、多くの企業がエッジセキュリティとネットワーク機能を移行しています。ガートナーの予測によれば、2027年までにほとんどの企業が移行を完了します。「2027年までに、魅力的なSASEソリューションを提供できないネットワークやセキュリティベンダーは、ニッチな市場に埋もれる運命にあります」と述べています。
そこで重要なのは、企業はどのサイバーセキュリティ業務を外部委託すべきかです。
この問いに答えるにおいて、スキル、能力、コストという3つの要素がカギになります。
スキル
多くの企業が限られた人件費で運営している中、どのスキルを内製すべか、どのスキルを外部委託すべきかが重要です。例として、ビジネス知識を挙げてみます。ITリソースがビジネスに与える影響を理解するには、内部の知識が不可欠です。一方、セキュリティ技術やサイバー攻撃に関する高度な技術知識は、外部からの提供可能な一般的な知識です。
また、多くの企業にとって特定のスキルセットは得ることが難しい場合があります。例えば、インシデント対応やフォレンジックの高度な知識は、必要な時だけアクセスできれば十分です。この分野は非常に専門性が高く、社内に常時このスキルを持つ人材を維持することは非常に高コストです。そのため、企業はトレードオフの選択を迫られることがあります。安価だが経験の浅い人材を雇うか、あるいは需要と供給の関係で給与が予算を超え、必要なスキルを手頃な給与で見つけられないことが多いのです。
多くの企業は若手人材を社内で育成するという解決策を選んでいます。しかし、スキル不足による課題の1つとしてスキルと専門知識を身につけた後に、高額な報酬で他社が引き抜こうとする傾向があることです。これは要因の1つにすぎませんが、大幅な給与増加は多くの人にとって断り難い魅力となります。
反対に単純なサイバーセキュリティタスクに関しても同様です。多くの企業が人手不足で、これらのタスクに時間を割くのは効率的ではありません。したがって、ゲートウェイコンテンツフィルタリングやTier 1 SoCフィルタリングなどを外部委託することは理にかなっています。また、スタッフ維持の課題を考えると、スタッフに意義のある仕事を保証することで士気と定着率が向上します。
コスト
外部委託は、高スキルな人材を低コストで活用できる手段です。シンプルなロジックとして、彼らは高度なスキルを活かし複数の組織に対応できるだけでなく、脅威ハンティングやインシデント対応(IR)でもその能力を発揮します。
私が働いていた会社FireEye社がIRサービス会社Maniant社を買収した後に、外部の専門家として呼ばれることがしばしばありました。なぜなら、企業の内部スキルや通常のサービスチームでは、侵害を見つけ出し、根絶することや、必要なツールにアクセスすることが難しかったからです。そのため、攻撃が自社の能力を超えた場合、必要に応じてこうしたサービスと能力を活用することは合理的な対応です。
能力
イノベーションには常にコストが伴います。市場に長く存在するスキルや能力は、時間と共に一般化されやすくなります。しかし、多くの脅威ハンターやIT専門家は、特定のニーズに応じて開発されたオーダーメイドツールを使用していることがよくあります。そのため、ツールを専門サービスを通じてしか利用できなかったり、社内で購入するには高額な場合があります。サービスの一環でこれらのツールのコストを共有することで、コスト削減が可能になります。
一例として、SIEM(セキュリティ情報およびイベント管理)の規模の経済があります。マネージドセキュリティオペレーションセンター(SoC)サービスを提供するプロバイダーは、SIEMのコストと関連費用を全顧客で分担できます。複数のクライアントにサービスを提供するため、ストレージの要件が大きくなり、ストレージコストに対してボリュームディスカウントを交渉できます。
同時に、企業がサイバーセキュリティにおいて大きな変更を行う際には、通常、関連コスト(ハードウェア、ソフトウェアライセンス、導入コスト、スタッフのスキルトレーニングなど)の償却期間が必要です。これらの数年にわたる取り組みの課題は、変動する市場に適応する企業の能力を制限することです。外部委託を利用する利点は、大規模な資本的支出を避けられ、財務上のロックインの程度が低いため、企業が柔軟に変化できることです。
5年前、大企業のCIOと会ったことを思い出します。彼らは新しいデータセンターの建設計画に数年取り組んでおり、承認されるまでにも同じくらいの時間がかかりました。しかし、導入が完了する頃には、世界はクラウドやアジャイルに移行しており、(彼の言葉を借りると)自らの技術的ロックインによって課題に直面してしまいました。
重要なこと
単にスタッフを増やすことだけではこの課題を解決できず、デジタル世界とそれに対する攻撃がより複雑化していることを考えると、AIや自動化が重要な役割を果たすことを理解する必要があります。これを踏まえ、次の2つの重要な問いを考えなければなりません。
1.サイバーセキュリティ戦略において、次に外部委託を検討すべき能力は何か?
- 社内でこれを行う場合、スキル、能力、コストのどれが高くなるか?
- これは社内でやらなければならないことなのか?
- 外部委託は、社内のリソースを効率的に活用し、従業員の仕事満足度を向上させられるか?
- これは一時的なニーズか、それとも長期的なものか?
- 外部委託は、変化するサイバーセキュリティのニーズに対して、より柔軟に対応することを可能するか?
- この能力が普及しているのなら、成果ベースのサービスに移行するのは理にかなっているか?
2.適切な外部委託提携先をどのように選択し、その結果はどのように評価するか?
この問いの答えは別の記事に詳述する予定ですので、続報をお待ちください。2025年に向けて最後にお伝えしたいのは、内製と外部委託の選択を慎重に考えることです。
計画と実行に十分な時間を割くことで、常により容易でコストを抑えた選択が可能になります。特にビジネスクリティカルなインシデント対応(IR)の場面では、契約交渉などが迅速な実行を妨げ、限られた時間の中で決定を急がなければならないケースを多く見てきました。
【開催レポート】Cybereason 2024年サイバー脅威予測セミナー「トップランナーと考える2024年に警戒しておくべき脅威の傾向とは」
2024年のサイバーセキュリティを考えるために、第一人者に登壇いただき、それぞれの立場から最新の知見を共有いただくことで、日本の企業・組織が取り組んでおくべきサイバーセキュリティのポイントを考察します。
2024年度のご自身が所属する組織におけるサイバーセキュリティ対策の検討にお役立てください。
https://www.cybereason.co.jp/product-documents/white-paper/12089/
