24時間のセキュリティ監視は重要！導入すべき企業の特徴を解説

近年サイバー攻撃は増加傾向にあり、手法も多様化しています。その中で24時間体制のセキュリティ監視の必要性を感じている方も多いのではないでしょうか。

一方で、24時間体制のセキュリティ監視はコストがかさむ懸念もあります。本記事では、24時間のセキュリティ監視の必要性や、導入すべき企業の特徴を解説しています。また、実際の導入事例として3つの具体例を紹介しているため、24時間体制のセキュリティ監視の導入を検討している方は参考にしてみてください。

24時間のセキュリティ監視と時間内監視はどう違う？

それぞれの内容を詳しくみていきましょう。

24時間体制のセキュリティ監視の特徴

24時間体制のセキュリティ監視は、企業のネットワークやシステムを常時守る重要な取り組みです。監視対象には、社員のパソコンや各種サーバ、プロキシサーバ、ファイアウォール、EDR、SASEを含むセキュリティ製品など、企業の重要なIT資産が含まれます。

24時間監視を専門的に行う組織として、SOC（Security Operation Center）があります。SOCは24時間365日体制で監視を行い、脅威を検知した際には迅速な分析と対策を実施する組織です。

近年、ランサムウェアや標的型攻撃など、サイバー攻撃の手法は急速に多様化・高度化しており、2023年の調査では過去3年間での累計被害額は平均1億2,528万円と、従来の対策だけでは防ぎきれない脅威が増加していることがわかります。^※1

そのため、自社の事業の中核となる公開Webページ、クラウドサービス、社内システムなどを常時監視し、異常を検知した際に迅速に対応できる体制を整備することが、組織のセキュリティ対策において不可欠です。

非24時間監視との違い

非24時間のセキュリティ監視は、自社のIT部門や契約している外部セキュリティチームの勤務時間内のみで監視を行う体制です。24時間のセキュリティ監視と比較してコストを抑えられる利点がある一方で、重大なセキュリティリスクを伴うことを理解しておかなければなりません。

例えば、金曜日の夜間に攻撃を受けた場合、月曜日の出社時まで攻撃を検知できないため、その間に情報漏えいや業務システムの破壊など、深刻な被害が発生する可能性があるでしょう。

近年のサイバー攻撃は、企業の監視体制の弱点を狙って実行されることが多く、夜間や休日を狙った攻撃も増加しています。半数近くの攻撃が金曜日か土曜日に開始されているデータもあります。

非24時間監視は費用を抑制できますが、攻撃を受けた際の被害額や信用失墜などの潜在的なリスクを考慮すると、現代のビジネス環境では大きな脆弱性となり得ることに注意が必要です。

おすすめの使い分け

セキュリティ監視体制の選択は、組織の特性とリスク評価に基づいて慎重に検討する必要があります。社会インフラを支える重要システムや、医療機関の患者データを扱うサーバなど、システムの停止や情報漏えいが深刻な影響を及ぼす場合は、コストが高くても24時間体制の監視が必須です。

一方、保有する情報の機密性が比較的低く、システム停止が即座に重大な業務影響を及ぼさない組織では、非24時間監視も選択肢となり得るでしょう。非24時間監視の場合、監視の空白時間帯におけるリスクを十分に認識し、代替的なセキュリティ対策を講じることが必要です。

選択の判断基準として、情報漏えい時の損害規模、システム停止による業務影響度や社会的信用性の失墜、セキュリティ投資予算、法規制要件などを総合的に評価します。特に、個人情報や機密情報を大量に扱う組織では、24時間監視の導入を積極的に検討すべきです。

セキュリティ監視に伴う企業の体制課題

セキュリティ監視に伴う企業の体制を整えるには、いくつかの課題を解決しなければなりません。課題として次の内容が挙げられます。

• IT部門の人材リソース不足
• セキュリティ監視に関する専門スキル不足
• 現在のセキュリティ対策ではインシデント発生リスクがある

IT部門の人材リソース不足

IT部門の人材リソース不足は、多くの企業で深刻な課題です。特に中小企業では、情報システム担当者が少数であることも多く、システムの導入・保守管理やユーザサポート、さらにはセキュリティ対策まで、限られた人数で幅広い業務を担当していることも多く見られます。

24時間のセキュリティ監視体制を構築するためには、サイバー攻撃の検知・分析・対応に関する専門知識をもった人材が必要不可欠です。しかし、経済産業省の試算によると、2030年には日本のIT人材が最大で約79万人不足すると予測されており^※2、そのような中でセキュリティ分野での人材確保はさらに困難になるでしょう。

企業が自社内で十分なセキュリティ監視体制を構築・維持することは、リソースの観点からも難しく、多くの企業にとっての深刻な経営課題です。

セキュリティ監視に関する専門スキル不足

かつてのセキュリティ対策は主にオフィス内のIT環境を守ることが中心でしたが、現代では子会社や工場、リモートワーク環境など、守るべき範囲が大幅に拡大しています。

IoTの普及により、従来は独立していた製造設備なども企業ネットワークに接続されるようになり、セキュリティ対策の範囲は物理的な境界を越えて広がっています。同時に、サイバー攻撃も巧妙化・複雑化しており、様々な脅威に対応できる高度な知識とスキルをもった専門人材が、安定したセキュリティには欠かせません。

企業は、高度なセキュリティスキルをもつ人材を新規採用するか、既存の社員を育成するかの選択肢がありますが、いずれも容易ではないでしょう。社内育成は、技術の進化が速く、実践的な経験を積む機会も限られているため、極めて困難です。

現在のセキュリティ対策ではインシデント発生リスクがある

企業のIT人材リソース不足と、セキュリティ監視に関する専門スキルの不足は、セキュリティインシデントの発生リスクを高めています。サイバー攻撃の手法が日々進化し、複雑化している現状では、適切な対策を講じることがますます困難な状況です。

近年は特に、セキュリティインシデントが一度発生すると企業に壊滅的なダメージを与える可能性があります。情報漏えいによる賠償金の支払い、システム復旧にかかる莫大なコスト、企業の信用失墜による取引停止など、その影響は広範囲におよび、最悪の場合、企業の存続さえも脅かすこともあるでしょう。

インシデント発生リスクに対応するためには、24時間体制の監視によって早期に発見し、発生時には即座に影響を最小限に抑えるための対策を講じる必要があります。

企業のセキュリティを強化する監視体制の構築

多様化するサイバー攻撃から企業のセキュリティを強化するためには、24時間監視の体制が必要です。SOCの体制を社内で構築するか、外部へ委託するか、最適な選択を取ることが求められます。

まずは、24時間監視の具体的な仕組みから解説します。

24時間監視の具体的な仕組み

24時間監視体制は、SOCとCSIRT（Computer Security Incident Response Team）という2つの専門組織が連携して運用します。

SOCは、24時間365日体制でインターネット環境やシステムを監視することと、サイバー攻撃の検知や分析が担当です。不審な活動やセキュリティ上の脆弱性を早期に発見し、セキュリティインシデントの早期検知・対応に注力します。不審な挙動を発見した場合、CSIRTに通報し、対応を引き継ぐこともあります。

CSIRTは、セキュリティインシデントが発生した際の対応を担当し、必要に応じてシステムの停止から復旧までの一連の作業を実施することが役割です。インシデント対応時に収集したログ情報は、SOCへとフィードバックされ、詳細な解析・分析が行われます。

分析結果を基に、CSIRTは新たな防止策を策定・導入します。SOCとCSIRTが密接に連携し、情報を共有しながら、より強固なセキュリティ体制の構築を進めていく仕組みです。

社内SOCの構築

社内SOCの構築は、セキュリティ対策の基盤となる重要な要素であり、高度な技術力が求められるため、実現の難易度が高いことが課題となっています。SOCは企業のネットワーク機器やサーバを常時監視し、ログの分析を通じて脅威を検知しなければなりません。

一方で、SOCの効果的な運用には、単なる監視体制の整備だけでなく、インシデント検知時の迅速な報告体制の構築が不可欠です。検知した脅威を適切なタイミングで、適切な部門や担当者に報告できる体制を整えることが、SOC構築の成否を左右する重要な要素です。

また、SOCの運用には情報セキュリティに関する専門的な知識とスキルをもった人材が求められます。企業側のセキュリティに対する理解度が低い場合、優秀な人材を採用できたとしても、その後の育成が十分にできないケースも多く見られます。

人材の確保は、多くの企業が直面しているセキュリティに関する深刻な課題の一つです。

外部SOCへ委託

現代のサイバー攻撃は、VPN脆弱性の悪用やRDPの不正利用、フィッシングメール、悪意のあるWebサイトへの誘導など、様々な手法を駆使して行われます。攻撃者は自動または手動で環境を探索し、重要なサーバを標的にすることもあるため、包括的な監視体制が必要です。

複雑な脅威に対応するには、EDR（Endpoint Detection and Response）だけでなく、複数のセキュリティ製品を組み合わせた監視・分析が効果的です。EDRのSOCを外部委託している企業も多く見られますが、EDRの調査範囲だけでは十分な情報が得られません。

単一のSOC事業者に複数製品の監視・分析を一括委託することで、セキュリティ強化と社内の工数削減を同時に実現できます。自社運用と外部委託を組み合わせたハイブリッド運用を導入することで、セキュリティ対策の実効性を高めながら、自社内にもセキュリティ対策のノウハウを蓄積していくことが可能です。

外部SOCサービスを利用するメリット

外部SOCサービスを利用するメリットとして次の内容が挙げられます。

• スケーラビリティと柔軟性
• 最新の技術とトレンドへの対応
• 運用コストの最適化
• 業界標準への準拠と監査
• インシデント対応の迅速化と信頼性

それぞれのメリットについて詳しく解説します。

スケーラビリティと柔軟性

外部SOCサービスの利点として、企業のニーズに応じて柔軟に監視体制を拡大・縮小できる点があります。社内SOCの場合、体制の変更には人材の採用や教育、設備の増強など、大きなリソース投資が必要となり、迅速な対応が困難なことが特徴です。

特に人材面では、セキュリティ専門家の採用や育成には長い時間とコストがかかり、急な業務拡大や新たな脅威への対応に即座に対処することは容易ではありません。

一方、外部SOCはすでに専門知識をもった人材が揃っており、監視対象の追加や監視レベルの強化などの要望に柔軟に対応できます。企業の成長や環境の変化に合わせて、必要なセキュリティ対策を迅速に実施することが可能です。

最新の技術とトレンドへの対応

外部SOCサービスは、セキュリティ分野に特化した専門エンジニアによって運営されており、最新のサイバーセキュリティ動向や攻撃手法に関する深い知見を有しています。セキュリティの専門家は、日々進化する脅威に関する情報を常に収集・分析し、効果的な対策を立案・実施できることが強みです。

新種のマルウェアや攻撃手法が発見された場合、外部SOCはその特徴や影響を迅速に分析し、適切な防御策を展開できます。また、複数の顧客企業の監視経験から得られた知見を活用することで、より効果的なセキュリティ対策を提供できるでしょう。

外部SOCを利用することで、企業は最新のセキュリティ技術と専門知識を活用した高度なサービスを受けられます。

運用コストの最適化

外部SOCサービスの利用は、セキュリティ監視体制の運用コストの最適化にもつながります。社内SOCを構築する場合、専門人材の採用・育成費用、監視システムの導入費用、運用設備の整備など、多額の初期投資が必要ですが、外部SOCを利用することでこれらの費用を大幅に削減することが可能です。

また、監視業務を外部委託することで、自社の限られたIT人材を戦略的な業務に集中させられるため、人的リソースの効率的な活用が可能となるでしょう。

さらに、自社で対応可能な部分と外部委託する部分を適切に組み合わせることで、セキュリティ対策の品質を維持しながら、全体的なコストを最適化できます。

業界標準への準拠と監査

外部SOCサービス事業者が、業界標準のセキュリティ規格の認定を受けている場合は、規格に準拠した高品質なセキュリティ対策を提供してもらえます。経済産業省が定める「情報セキュリティサービス基準」^※3に適合した対策を講じられれば、「情報セキュリティサービス台帳」に掲載され、その信頼性が公的に認められます。

認証を受けたSOCサービスを利用することで、企業は国際標準や業界基準に準拠したセキュリティ対策を実施していることを、取引先や監査機関に対して客観的に示せることが強みです。企業の信頼性向上やコンプライアンス対応の強化につながり、結果として企業価値の向上にも貢献するでしょう。

インシデント対応の迅速化と信頼性

外部SOCサービスのメリットとして、セキュリティインシデント発生時の対応の専門性と迅速性があります。外部SOCのサービス事業者は、高度な専門知識をもつセキュリティエンジニアを常時配置しており、インシデント発生時に即座に対応できる体制を整えていることが特徴です。

多数の企業への対応経験をもつ専門家が担当するため、様々なインシデントケースに対する豊富な知見と実践的なノウハウを活用した対応が可能です。信頼性の高い対応により、インシデントの影響を最小限に抑えつつ、効果的な解決策を迅速に実施できます。

さらに、専門事業者は常に十分なリソースを確保しているため、複数のインシデントが同時に発生した場合でも、適切な対応を維持できるでしょう。

24時間のセキュリティ監視 外部委託先の選定ポイント

24時間のセキュリティ監視の外部委託先を選定する際には、次のポイントに注意しましょう。

• サービスの信頼性と実績
• コストパフォーマンスの比較
• サポート体制の充実度
• カスタマイズの柔軟性
• 契約条件と品質保証

それぞれのポイントを詳しく解説するため、選定の際の参考にしてみてください。

サービスの信頼性と実績

24時間のセキュリティ監視の外部委託先を選定する際、重要なポイントの一つがサービスの信頼性と実績です。高度なスキルをもつセキュリティアナリストが在籍しているかと、その分析・判断能力を確認する必要があります。

アラートの自動検知だけでなく、熟練したアナリストによる目視での分析と判断が加わることで、より正確な脅威の特定と対応が可能です。また、インシデント発生時の対応速度も重要なポイントとなるでしょう。

サイバー攻撃による被害は時間とともに拡大する可能性が高く、迅速な対応が被害の最小化につながります。委託先の過去のインシデント対応実績や、対応までの所要時間などを詳細に確認しなければなりません。

委託先の顧客数や業界での評価、セキュリティ関連の認証取得状況なども、サービスの信頼性を判断する重要な指標です。

コストパフォーマンスの比較

セキュリティ監視の外部委託にかかる費用は、監視対象の範囲や要求されるサービスレベル、企業の規模などによって異なります。ネットワーク監視は一時的なものではなく、継続的に実施する必要があるサービスのため、長期的な視点でのコスト評価が重要です。

自社のセキュリティニーズを明確に整理し、予算との兼ね合いを慎重に検討しなければなりません。24時間365日の監視が本当に必要か、どの程度の対応スピードを求めるか、どの範囲まで監視対象とするかなど、具体的な要件を整理することで、適切なコストパフォーマンスのサービスを選択できます。

将来的なシステム拡張や新たな脅威への対応も考慮に入れ、柔軟にサービス内容を調整できる事業者を選定することもポイントです。

サポート体制の充実度

24時間のセキュリティ監視の外部委託先を選定する際、サポート体制が充実しているかどうかも重要な評価ポイントです。特に緊急時のインシデント対応能力は、被害の最小化に直結します。

SOC事業者は通常、最も早くインシデントを検知できる立場にありますが、検知後の対応能力も同様に重要です。SOC事業者自身がインシデント対応をサポートできない場合、別のベンダへの依頼が必要となり、対応の遅延や連携が複雑化するリスクが生じます。

また、監視可能な機器やシステムが限定されている場合、企業のIT環境全体を効果的に守れず、十分なセキュリティサポートを受けられません。自社のIT環境全体をカバーできる包括的なサポート体制をもつ事業者を選定することが重要です。

カスタマイズの柔軟性

セキュリティ監視サービスを選定する際、重要な検討ポイントの一つが、カスタマイズの柔軟性です。サイバーセキュリティの分野では、新たな脅威の出現に対応して、様々なベンダが継続的に新製品や新機能をリリースしています。そのため、監視サービスもこれらの変化に柔軟に対応できなければなりません。

企業のセキュリティニーズの変化や新しい脅威のトレンドに応じて、監視対象の製品やシステムを変更する可能性があります。その際、監視サービスがスムーズに新しい製品に対応できるか、また既存の監視ポリシーや運用ノウハウを継続して活用できるかどうかが重要な判断基準です。

契約条件と品質保証

外部のセキュリティ監視サービスを選定する際は、契約条件と品質保証に関する詳細な確認が重要です。契約条件では、契約解除に関する条項を慎重に確認する必要があり、解除可能な条件、違約金の金額や計算方法、支払い期限などが明確に定義されているかを精査することで、将来的なリスクを最小限に抑えられます。

また、定期的なサービスレビューや進捗報告の実施により、サービスの品質を継続的に確認できるかどうかもポイントです。詳細な報告書の作成を通じて、契約条件の遵守状況や現状の課題、改善提案などを明確に記録します。サービス提供者と利用者の双方が合意した上で、継続的な品質向上に取り組める体制が整っているかどうかを確認しましょう。

24時間のセキュリティ監視の実施事例

実際の導入における課題と解決策

富山県に本社を置く北陸コンピュータ・サービスは、ITシステムの提案から構築、運用までを一貫して提供するシステムインテグレーターです。同社は自社内でセキュリティに強いエンジニアの育成に取り組みましたが、セキュリティという特殊な技術領域のスペシャリスト育成は容易ではありません。

また、少数のセキュリティ専門家に依存する体制では、インシデント発生時の即応体制に不安があり、より堅固なセキュリティ体制の構築が課題でした。これらの課題を解決するため、同社はラックのセキュリティ監視サービス「JSOC」の導入を決定します。

導入は予想以上にスムーズで、ネットワーク境界への侵入防御システムの設置と基本設定のみで運用を開始できました。導入から約3ヶ月で、これまでの運用では発見が困難だった3件のセキュリティインシデントを検知できたことで、サービスの有効性が実証されています。

IT部門とビジネス部門の連携強化

NTTドコモのソリューションビジネス部 クラウド基盤担当部署では、法人向けIaaS基盤サービスを提供していましたが、ECサイトへの不正アクセスや企業からの情報漏えい事件の増加を受け、利用者からセキュリティ対策の強化を求められていました。

セキュリティ対策の要望に対し、社内対応では十分な品質のシステムを構築することは困難と判断します。外部委託を検討する中で、ラックは他社より高額な見積もりでしたが、セキュリティ課題に対する解決策の提案が最も明確で説得力があったため、採用を決定したといいます。

当初は、ドコモの内部監視とラックの外部監視の連携に時間がかかるのではないかとの懸念がありましたが、その心配は無用でした。不正アクセス対策の実装から運用の定着まで、わずか2ヶ月の短期間で実現でき、連携が強化されたことで効果的なセキュリティ体制を構築しました。

外部SOC導入による生産性向上事例

データセンタービジネスを展開する株式会社イーツは、増加するサイバー攻撃に対応するため、セキュリティ監視の強化が急務となっていました。しかし、効果的なセキュリティ監視には、ログ分析だけでなく、多様化する攻撃への対処方法やシグネチャのチューニングなど、幅広い知識と高度な技術力が必要です。

同社は、専門的な監視業務を外部パートナーに委託することで、自社のコア業務であるITインフラ監視に注力する戦略を選択します。840台以上の監視実績があり、主要メーカーのセキュリティ機器に対応し、かつ同社の運用フローにも柔軟に対応可能なラックのセキュリティ監視サービスを導入しました。

導入した結果、顧客データの安全性が向上しただけでなく、データセンターとしての競争力も強化され、より質の高いサービスを提供できる体制を確立できました。外部SOCの活用により、専門性と効率性の両立を実現した成功事例です。

ラックのJSOC マネージド・セキュリティ・サービス（MSS）

本記事では、24時間体制のセキュリティ監視は重要かどうかを解説しました。

近年のサイバー攻撃は、企業の監視体制の弱点を狙って実行されることが多いため、24時間体制のセキュリティ監視は、企業のネットワークやシステムを常時守る重要な取り組みです。

24時間体制の監視を専門的に行う組織として、SOCがあります。外部SOCサービスは、セキュリティ分野に特化した専門エンジニアによって運営されており、最新のサイバーセキュリティ動向や攻撃手法に関する深い知見を有しています。

外部SOCならJSOC マネージド・セキュリティ・サービス（MSS）の導入を検討してみることをおすすめします。

JSOCなら、自社運用が難しいといわれるセキュリティ製品の運用を任せられるため、四六時中通知されるセキュリティアラートに煩わされず、自社業務にリソースを集中させられます。また、多くのサイバーセキュリティの安全基準を満たしていることから、信頼できるサービスを受けられることが強みです。

依頼内容や環境により価格が変わりますので、お見積りなどお気軽にお問い合わせください。

参考情報

※1 過去3年間で56.8％がサイバー攻撃の被害を経験、3年間の累計被害額は平均1.3億円、 ランサムウェア被害経験企業では平均1.8億円 | トレンドマイクロ | トレンドマイクロ (JP)

※2 経済産業省委託事業 平成30年度我が国におけるデータ駆動型社会に係る基盤整備（IT人材等育成支援のための調査分析事業）－IT人材需給に関する調査－ 調査報告書

※3 情報セキュリティサービス審査登録制度（METI/経済産業省）