悩み(6) 自前でのシステム運用の負担が大きく、セキュリティ対策に不安を感じる
f社では、自社内で基幹システムを構築・運用しているが、システムの維持費用や、人的資源の不足に伴う、セキュリティ対策を始めとする運用・保守対応の負荷が高く、限界を感じていた。
基本情報
f社の状況
- 自社製品を、取引先に販売するシステム(基幹システム)を、オンプレミス形式で、自社内にて構築・運用している。
- IT部門に十分に担当者がおらず、特にセキュリティ担当者が十分にいない。
f社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 300人 | |
| 管理 体制 | CISOの有無 | 有(CIOが兼任) |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | IT部門 | |
セキュリティ担当者の問題・悩み
f社では自社で基幹システムを構築・運用している。しかし、日頃から費用面の負担だけではなく、IT部門の要員システムの 調達、運用、保守にかけられる人的資源が不足しており作業負担が高くなっていた。
特にセキュリティ対策に関しては、サーバのマルウェア対策、OSのアップデート、セキュリティパッチの適用といった予防的な対策、またネットワークの監視、アクセスログのモニタリング等の発見的な対策など、種々の対策を講じているが、これらが少ない セキュリティ担当者に対する大きな負荷となっていた。
取組(6) 自社のセキュリティルールに整合する、適切なクラウドサービスを利用する
解決に向けたアプローチ
オンプレミス環境から
クラウド環境への移行(イメージ)
そこでf社は、基幹システムのサーバが保守切れを迎えるタイミングで、従来のようにサーバを自社で保有してセキュリティ対策を実施するのではなく、一部のセキュリティ対策がサービスとして提供されるクラウドサービスに移行することとした。
その際に、公知の情報等を参考にしながら、例えば以下のようなポイントを検討した上で、自社で行うべき管理の内容を整理し、管理の簡素化や管理工数の削減を図った。
<移行時の考慮ポイントの例>
- クラウドで扱う情報と業務の重要性
- 自社・事業者間でのセキュリティルール・水準の整合性(データ暗号化やパスワード強度の警告など)
- セキュリティ対策の開示状況
- 直接監査の実施可能性、もしくは代替可能なSOC報告書の発行 等
得られた知見
f社のIT部門長は、システムの専門家であるクラウドベンダーが、セキュリティ対策も含めてサーバの維持を行ってくれるため負担は以前より軽減されたと感じる。
一方で、クラウド環境に移行した場合でも、全てベンダー任せにするのではなく、自社で担保しなければならない部分、例えば、ID管理やデータ暗号化やパスワード強度確認などのセキュリティ設定はしっかり対応し、委託先の選定・モニタリングも重要であると考えている。