いまや完全に事業リスクとなっている、サイバー攻撃。
それらに対応するべく、
手持ちのシステムに対して
「セキュリティ診断」を行うことは非常に有効ですが、
やはり専門的な知識が必要です。
そのため、基本的には専門家に外注することが多いですが、
情報処理推進機構(IPA)より、新しいガイドが公開されました。
外注せずに自社で実施
専門的な診断となるため、一般的には「専門家に外注」して対応することが多いです。
しかし、内製化(自社で行う)にはどうしたらよいか・・・
というガイドが公開されました。(無料です)
すごく参考になる内容だと思います。
現実的なのか?
しかし、これらを本当に内製化してやり切れるのでしょうか?
内容を確認したところ、かなりやさしく伝えようとしているものの、
やはりITの専門的な内容も多いです。
つまり、社内に専門的なチームがなく、
(外注すると対応スピードが出ないこともあり)
内製化してなんとかせねば、といった状況でないと
活用は難しい感触がありました。
そして、そうした組織というのは
大企業であることも多く、
外注費自体がクリティカルな問題になることは
少ないのではないかとも感じます。
いわゆる「ひとり情シス」のような体制においても
知識としては有効ですが、
内製化組織を作っていくような話でもあるため、
内製化をするには現実的にはパワー不足でしょう。
※内製化のメリットは外注コストが減る点だけではないのでご注意ください。
外注には、もう一つ効果が
外注には他にもデメリットがあります。
例えば、セキュリティ診断を実施してもらうために、
自社の情報を渡す必要がある点です。
当たり前ですが、診断対象のシステムを
診断会社が触れないと診断できません。
何かしらの情報は診断会社に提供する必要があります。
そうしたデメリットをカバーする魅力が内製化にはありますが、
個人的には、外注には大きな効果があります。
それは「専門家に依頼していたけど、それでも被害に合いました」という言い訳です。
「被害にあったら一緒じゃん」と思われるかもしれません。
しかし、例えばPCがウィルスに感染したとします。
その時、
「セキュリティソフトを導入していたけどすり抜けました」と
「何のセキュリティ対策もしていませんでした」
では、印象が異なるでしょう。
「内製化して頑張っています」と言った時に、
「なんでセキュリティの専門家に依頼してないの?」という反応に
(世間が)なるリスクがあります。
こうした難しさも内製化にあるのでは、と感じました。
もちろん、内製化に向けた知識があって困ることはありませんし、
それは、外注先が実施していることを知ることでもあります。
公開されました「脆弱性診断内製化ガイド」、
専門的な内容ではありますが
読みやすい内容でもありますので、
ぜひ一度、目を通していただくことをオススメします。
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
