NTIブログ

なぜ、あなたの組織のセキュリティ対策は“担当者依存”から抜け出せないのか?

セキュリティアラート

この記事でわかること

担当者が異動するたびに、セキュリティレベルがリセットされてしまう。そんな「属人化」の根本原因と、人に依存しない「再現性のある仕組み」を組織に根付かせるための、現実的なアプローチを具体的なデータと共に解説します。

バックアップは入れた。でも拭えない「あの人がいなくなったら…」という不安

「IT-BCP対策として、バックアップシステムは導入しました。これで、とりあえずは…」

地方の公立病院で情報システム室を担当して3年目の高橋さん(仮名)は、来月に迫った自身の異動を前に、後任の担当者に引き継ぎ資料を説明していました。半田病院の事故を教訓に導入したバックアップ(点)は、確かに大きな前進です。しかし、彼の心には一抹の不安が残っていました。

「この3年間、自分なりに外部の委託先や関連部署とやり取りして、なんとか院内のIT資産を把握してきたつもりです。でも、そのノウハウの多くは、この引き継ぎ資料には書ききれていない。後任の担当者が、自分と同じように運用(線)を回し続けられるだろうか…? 正直、自信がありません」

「診療を止めない」というガイドラインの真の目的を達成するには、バックアップのような「点」の対策だけでは不十分です。日々の変化に対応し続ける「線」の運用があって初めて、「点」の投資は意味を持ちます。しかし、多くの組織で、その「線」は特定の担当者の頑張りという、極めて脆い基盤の上に成り立っているのです。

セキュリティ運用における最大の敵、「再現性の欠如」という構造問題

なぜ、セキュリティの継続的な運用(線)は、これほどまでに難しいのでしょうか。

その根本原因は、多くの医療機関や自治体が抱える「再現性の欠如」という構造問題にあります。特に、3年前後で担当者が異動するような環境では、この問題はより深刻になります。

前任のAさんが、その知識と経験、そして業者との人間関係でなんとか回していたセキュリティ運用。しかし、Aさんが異動し、後任のBさんに引き継がれた瞬間、Aさんの頭の中にしかなかった手順や、資料化されていない勘所は失われます。Bさんは、ほぼゼロから手探りで運用を再構築しなければならず、組織全体のセキュリティレベルは、異動のたびに大きく揺らぎ、陳腐化していくのです。

これは単なる感覚的な問題ではありません。例えば、ITサービス企業のDatapriseが発行したホワイトペーパーでは、キーパーソンへの依存が事業継続に与えるリスクが具体的に示されています。こうしたホワイトペーパーは、特定の担当者の離職が、いかに業務の停滞やセキュリティレベルの低下に直結するかを警告しており、「担当者依存」が経営レベルのリスクであることを明確に物語っています。

属人化の温床となる「発見」と「評価」の無限ループ

では、なぜセキュリティ運用は、これほどまでに属人化してしまうのでしょうか。それは、運用の中核をなす以下のタスクが、担当者の個人的なスキルや経験に大きく依存しているからです。

IT資産の「発見」

「このIPアドレスは、どの部署のどのシステムだろう?」「このドメインは、昔のキャンペーンサイトの残りだろうか?」こうした判断は、組織の歴史や過去の経緯を知る担当者の“記憶”に頼りがちです。

脆弱性の「評価」

「新しい脆弱性が見つかったが、うちのシステム構成だと、どれくらい危険なのだろう?」──こうしたリスク評価は、本来ならば客観的な指標に基づいて行うべきですが、実際には担当者のスキルや判断基準に依存しており、評価結果に大きなバラつきが生じるのが現実です。IPAの実態調査でも、CVSSスコアのみでの対応や環境値・脅威情報の活用不足が原因で、リスク評価が属人的・断片的になっている実態が明らかにされています。

この「発見」と「評価」の終わりなきループこそが、属人化を助長する温床であり、組織から「再現性」を奪う元凶となっているのです。

「再現性のある運用」を組織に根付かせるASM/CTEMというアプローチ

この根深い課題を解決するために必要なのは、担当者個人のスキルアップや、より詳細な引き継ぎ資料の作成ではありません。必要なのは、人に依存しない、「再現性のある仕組み」を組織に導入することです。

そのための最も現実的なアプローチが、ASM(アタック・サーフェス・マネジメント)です。ASMは、これまで担当者の“暗黙知”に頼っていた「発見」と「評価」のループを、標準化されたプロセスとしてシステムに組み込むことを可能にします。

  • ツールが、誰がやっても同じ基準で、継続的にIT資産を発見してくれます。
  • ツールが、誰が見ても同じ基準で、客観的なスコアに基づきリスクを評価してくれます。

実際に、Rapid7Picus Securityといった専門企業は、ASMが「属人化解消の重要な手段」であると述べており、導入企業からは「数百万規模の脆弱性を検出し、侵害確率を大幅に低下させた」といった具体的な成功事例も報告されています。

Gartnerも注目する、より大きな潮流「CTEM」

さらに、ASMはCTEM(継続的な脅威エクスポージャー管理)という、より大きな考え方の中核をなす技術です。ビジネス+IT(SBクリエイティブ)などでCTEMが詳しく解説されており、「リスクの発見から影響評価、優先順位付けまでを継続的に行う循環型プロセス」として注目されています。

大手調査会社のGartnerは、ASMを「CTEMの第一歩」と位置づけており、将来的にASMはCTEMの枠組みに統合されていくと予測しています。つまり、ASMの導入は、今後のセキュリティ対策の主流となる考え方への、確かな第一歩とも言えるのです。

まとめ:「あの人がいた頃は良かった」と、二度と言わないために

セキュリティレベルが、特定の個人の頑張りに依存する体制は、もはや限界です。「あの人がいた頃は良かった」という言葉は、裏を返せば、組織としてセキュリティ対策に失敗していることの証左に他なりません。

担当者が誰であろうと、組織として一定の安全性を維持し続ける。そのためには、属人性を排除し、仕組みによる再現性を確保する必要があります。

たとえば、経済産業省が公開している「ASM導入ガイダンス」でも、攻撃対象領域(Attack Surface)の継続的な可視化と対応の重要性が強調されており、実運用への導入が国策レベルで推奨されています。

ASMのようなテクノロジーを活用して「再現性のある仕組み」を組織に根付かせることこそ、「診療を止めない」という本来の目的を達成するための、最も確実で、持続可能な道筋です。

担当者依存のセキュリティ対策から脱却し、「再現性のある仕組み」を構築したい方は
こちらからお気軽にお問い合わせください

※記載された社名、製品名、ロゴマークは各社の商標または商標登録です。