アウトソーシング

いくつかの解決策

　中編において解説した情報セキュリティをアウトソースする際の問題は、どのようにして解決を図ればよいのだろうか。後編ではそのヒントを紹介する。

セキュリティ担当者を置く
　すべての企業が少なくとも1人のセキュリティ担当者を置かなければならない。その担当者はセキュリティ専任ではないかもしれないが、想定されたレベルのスキルが身につくように研修を受けさせる必要がある。契約に基づいてサードパーティから提供されるサポート・サービスは、このセキュリティ担当者が管理しなければならない。

　セキュリティを全面的にアウトソースするのは、現実的に不可能だ。意図したとおりのセキュリティの提供が確実に行われるようにするには、セキュリティの専門家が、自社管理とアウトソーシングのバランスの良い組み合わせを定義する必要がある。

セキュリティ・オペレーションは選択、定義してからアウトソースする
　セキュリティ・オペレーションのアウトソーシングは可能だが、オーバーヘッドを考慮しなければならない。アウトソースするオペレーション業務は、意図的に選択する必要があり、アウトソーサーが対応できる業務をやみくもにすべてアウトソースしてはならない。サービス品質の問題から、特定のサプライヤーから料金の割り引きを受けることがあるかもしれない。だが、セキュリティ・オペレーションについて、目指すべき状態を定義しておけば、定量的な基準に基づいて料金割引を受けることや、必要に応じて品質に問題があった分野以外の分野で補償を受けることが可能になる。

ソリューションのセキュリティ・コンポーネントは事前によく吟味する
　インテグレーターからターンキー・ソリューションを購入する場合、セキュリティは十分に考慮されていないという前提に立たなければならない（そうではないことがわかるまでは、それに越したことはない）。インテグレーターは怠けているということではないが、彼らのビジネスで肝心なのは、要求されたものを低価格で提供することだ。通常、ソリューションに含まれるセキュリティ・コンポーネントについては、エンドユーザー向け機能は求められていない。このため、インテグレーターはこのコンポーネントを簡単にないがしろにするが、それでも苦情は出ない。

　企業はソリューションを導入する前に、社内または社外の独立機関にソリューションの調査を委託し、その結果を検討して、ソリューションのリスクをすべて理解して正式に受け入れ、管理策を講じなければならない。

サービス品質の確保にはテストが不可欠
　どのようなセキュリティ機能をアウトソースしているかにかかわらず、サービス品質を継続的に検証、確保する手段として、テストを行わなければならない。オペレーション担当者にテストとしてソーシャル・エンジニアリングを仕掛けたり、架空のインシデントを通報したりすることで、彼らの対応をチェックし、適切な対応を徹底すべきだ。また、侵入テストの実施に先立って、対象環境に、既知の脆弱性が残っているアプリケーションを用意しておき、それらが発見、報告されることを確認しなければならない。セキュリティをすべて自社で管理している場合も、もちろん、テストを行う必要がある。ただし、社内スタッフの能力は、すでによく把握されているはずなので、テストする必要はない。

大きなハードルとなるサービス品質確保

　情報セキュリティ・アウトソーシングの大きな問題は、セキュリティ要素をアウトソースすることで、その要素に関する要求が変わるわけではないのに、サービス品質を確保するのが非常に難しくなることだ。これは、2つの極端なケースを考えるとよくわかる。

　セキュリティをすべて自社で管理している企業には、取締役会ではないとしても、経営トップが直轄するセキュリティ専任部門が設置されているだろう。

　この部門の任務の1つは、社内に目を光らせ、さまざまな業務分野のセキュリティ状況が正しく、完全に報告されることを保証することだ。ネットワーク部門は、セキュリティ上の問題を（ほかの問題とともに）重点的に報告しなければならず、セキュリティ部門は、それが確実に行われるようにする必要がある。セキュリティ部門のスタッフは、社員として契約に基づいて職務を遂行する義務があり、報酬により、職務を完全に、正しく遂行することを奨励されている。

　これに対し、情報セキュリティを完全にアウトソースしている企業は、何事も直接コントロールできない。契約によってアウトソーサーの責任は限定されている。アウトソーサーの人材採用戦略は知るすべがなく、彼らは多くの業務機能を下請け業者に委託する可能性もある。通常、委託業務を実際に行うアウトソーサーの担当者を企業が評価する機会は限られている。こうした担当者を特定することはできるとしてもだ。また、アウトソーサーが自社のスタッフに提供しているインセンティブの内容は不明であり、それはアウトソースされている業務機能に関する要求と相容れないかもしれない。

　どんな業務分野のセキュリティも、サービス品質の管理が甘いと、低いレベルにとどまってしまう。アウトソーシング契約が完全に履行されるように、アウトソーサーのサービス品質を適切に管理することは可能だ。しかし、この管理は通常、委託業務を自社で行う場合の品質管理よりも高くつく。これは、効果的なアウトソーシングのオーバーヘッドの1つだ。

セキュリティ意識が肝心

　1つ大きな注意点がある。それは、高いセキュリティ意識を持たなければならないということだ。当たり前に思えるかもしれないが、多くの場合、人々のセキュリティ意識がセキュリティ・サービスの品質を最も左右する。
　エンドユーザーはセキュリティを要求すべきだ。例えば、Webサイトに関して言えば、自社や取引先の“ブローシュアウェア”（紙のパンフレット類の内容を転載したWebサイトなど、めったに更新されないビジネスWebサイト）のような手抜きのサイトを、そのまま受け入れる必要はない。自分たちがアクセスするサイトが安全だという証拠（保証）を要求する必要がある。そうすれば、企業はその重要性に気づき、市場の声に応えるだろう。また、企業の経営陣は、倫理的義務を果たすためというだけの理由でも、責任を持ってセキュリティを推進する必要がある。経営陣は、毎月報告を受けるだけでなく、自社のセキュリティへの取り組みを後押ししなければならない。

　一般業務のアウトソーシング契約を結ぶ際も、契約書にサインする前に、あらかじめセキュリティについて検討しておかなければならない。

準備と責任

　セキュリティの要素は、アウトソース・パートナーに効果的に委託できる。だが、そのためには、うまくいくことを願うだけでは足りない。セキュリティ要素のアウトソーシングに踏み切るにあたっては、ビジネス上の他の意思決定と同じように、影響をすべて考慮しなければならない。デューディリジェンス（事前精査）を実施し、リスクを管理し、リスク軽減策、そしてもちろん、サービスの品質確保策を講じる必要がある。

　ほとんどの企業にとってセキュリティ対策は悩みの種であり、それをセキュリティ・ベンダーのせいにするのは簡単だ。しかし実は、真っ先に手をつけるべき問題は身近なところにある。個人1人1人がサプライヤーにセキュリティを要求し、自分の持ち場で責任を持ってセキュリティを実現することが、すべての対策の出発点になる。