情シスのセキュリティ運用とは?日常業務の全体像と中小企業での実践方法
セキュリティ対策は「導入」で終わりではなく「運用」が本番です。
MFAを有効にした、EDRを導入した、セキュリティポリシーを策定した。これらはすべて重要な第一歩ですが、導入後に適切な運用が行われなければ、セキュリティレベルは徐々に劣化していきます。退職者のアカウントが放置される、新しい脆弱性が未対応のまま残る、アラートが確認されない——こうした「運用の穴」がインシデントにつながります。
この記事では、情シスのセキュリティ運用を5つの領域に分類し、各領域で何をすべきかを中小企業の現実に合わせて解説します。
セキュリティ運用の5つの領域
情シスが行うセキュリティ運用は、以下の5つの領域で構成されます。
領域1: アカウント・アクセス管理
セキュリティ運用の最も基本的な領域です。「誰が、何に、どこまでアクセスできるか」を常に適切な状態に維持します。
日常業務として行うこと。入退社・異動に伴うアカウントの作成・変更・削除。退職日当日のアカウント無効化。新入社員への適切なアクセス権限の付与。パスワードリセット対応。
定期的に行うこと。全アカウントのMFA登録状況の確認(月次)。管理者権限を持つアカウントの棚卸し(月次)。SharePoint・Teamsのアクセス権限の棚卸し(四半期ごと)。休眠アカウント(長期間ログインのないアカウント)の検出と整理(四半期ごと)。
なぜ重要か。退職者のアカウント放置は、情報漏洩の最も身近なリスクです。また、管理者権限の乱発は、アカウントが侵害された場合の被害範囲を大きくします。
領域2: 脆弱性管理(パッチ管理)
OS、ソフトウェア、ファームウェアの脆弱性を早期に検知し、修正パッチを適用する領域です。
日常業務として行うこと。WindowsセキュリティアップデートとMicrosoft Officeの更新適用状況の監視。Microsoft Intuneのコンプライアンスダッシュボードで未適用端末の検出。緊急度の高い脆弱性(CVSSスコア9.0以上、ゼロデイ)の情報収集と即時対応。
定期的に行うこと。全PCのOS・ソフトウェアバージョンの一斉確認(月次)。ネットワーク機器(ルーター、UTM、Wi-Fiアクセスポイント)のファームウェア更新確認(四半期ごと)。使用しているSaaSサービスのセキュリティ設定の確認(四半期ごと)。
なぜ重要か。既知の脆弱性が未修正のまま放置されている端末は、攻撃者にとって最も簡単な侵入口です。パッチ管理を怠ることは、玄関の鍵をかけずに外出するのと同じです。
領域3: ログ監視・異常検知
システムやサービスが出力するログを監視し、不審な挙動を早期に検知する領域です。
日常業務として行うこと。Microsoft Entra IDのサインインログの確認(不審な場所・時間帯からのアクセス)。Microsoft 365 Defenderのセキュリティアラートの確認と対応。EDR(Endpoint Detection and Response)のアラート確認。Exchange Onlineのメール検疫の確認。
定期的に行うこと。大量のファイルダウンロードやメール転送ルールの設定変更など、内部不正の兆候の確認(月次)。条件付きアクセスポリシーでブロックされたアクセスの傾向分析(月次)。
なぜ重要か。サイバー攻撃の平均検知期間は約200日と言われています。攻撃者がネットワークに侵入してから検知されるまでの期間が長いほど、被害は大きくなります。日常的なログ監視は、この検知期間を短縮するための最も有効な手段です。
Microsoft 365環境での具体的な監視項目はMicrosoft 365のセキュリティ運用ガイドで詳しく解説しています。
領域4: インシデント対応
セキュリティインシデント(情報漏洩、マルウェア感染、不正アクセスなど)が発生した際の対応領域です。「事前準備」と「発生時の対応」の2つに分かれます。
事前準備。インシデント対応手順書の策定と維持。連絡先リスト(社内の意思決定者、外部のセキュリティベンダー、個人情報保護委員会など)の整備。インシデント報告テンプレートの準備。年1回の机上訓練(シナリオベースのインシデント対応訓練)。
発生時の対応。初動(被害の拡大防止)として、感染端末のネットワーク隔離、侵害されたアカウントのパスワードリセット、影響範囲の調査を行います。原因調査(フォレンジック)として、どこから侵入されたか、何が漏洩・破壊されたかを特定します。復旧として、バックアップからのデータ復元、端末の再構築を行います。再発防止策として、侵入経路の遮断、セキュリティ設定の強化を実施します。
インシデント対応の詳細手順はインシデント対応の基本手順で解説しています。
領域5: セキュリティ教育・啓蒙
社員のセキュリティリテラシーを向上させる領域です。技術的な対策だけでは防げない「人的要因」への対策として不可欠です。
定期的に行うこと。全社員向けセキュリティ研修の実施(年1回以上)。フィッシングメール模擬訓練の実施(半年に1回程度)。新入社員へのセキュリティオリエンテーション(入社時)。セキュリティポリシーの周知(年1回以上)。
日常的に行うこと。社員からの「このメールは大丈夫?」という問い合わせへの対応。不審メールやインシデントの社内共有。セキュリティに関する最新ニュースの社内周知。
研修プログラムの設計については中小企業のセキュリティ研修プログラム設計で解説しています。
中小企業のセキュリティ運用の現実
ここまで読んで「とてもうちの会社では全部はできない」と感じた方も多いでしょう。その感覚は正しいです。
中小企業、特にIT専任者が1名(ひとり情シス)またはゼロの企業が、5領域すべてを自力でカバーするのは現実的に不可能です。ひとり情シスの場合、ヘルプデスク対応やアカウント管理だけで手一杯になり、ログ監視やインシデント対応の事前準備にまで手が回らないのが実態です。
では、どうすればよいのでしょうか。
現実的なアプローチ:優先順位をつけて段階的に
すべてを一度にやろうとせず、リスクの大きさと実施の容易さで優先順位をつけます。
最優先(今すぐ): 退職者アカウントの削除、MFAの有効化、Windows更新の適用。この3つだけで、最もインパクトの大きいリスクの大部分をカバーできます。
次の優先(3か月以内): サインインログの週次確認、管理者権限の棚卸し、インシデント対応の連絡先整備。
その次(半年以内): セキュリティ研修の実施、EDRの導入、セキュリティポリシーの文書化。
段階的なロードマップは中小企業のセキュリティ対策ロードマップで体系的にまとめています。
セキュリティ運用をアウトソーシングする
もう一つの現実的な解決策は、セキュリティ運用の全部または一部を外部に委託することです。情シスアウトソーシングの中でも、セキュリティ運用に対応したサービスを選べば、以下の業務を外部チームが継続的に実施します。
アカウント管理と入退社対応、Windows更新・パッチ適用状況の監視、サインインログの定期確認と不審アクセスの検知、EDRアラートの監視と対応、インシデント発生時の初動対応、セキュリティ設定の定期見直しと改善提案。
社内のIT担当者は「守りのセキュリティ運用」を外部に任せることで、DXやシステム改善といった「攻めのIT」に集中できます。
情シス365では、Security365プランでセキュリティ運用を含む情シス代行を月額45万円〜で提供しています。セキュリティ運用だけでなく、ヘルプデスク、IT資産管理、ネットワーク管理もまとめて対応可能です。
まとめ
情シスのセキュリティ運用は、アカウント管理、脆弱性管理、ログ監視、インシデント対応、セキュリティ教育の5つの領域で構成されます。どれも「導入して終わり」ではなく、継続的な運用が必要です。
中小企業ですべてを自前で行うのは困難ですが、優先順位をつけて段階的に取り組むこと、そして必要に応じてアウトソーシングを活用することで、自社のセキュリティレベルを着実に引き上げることが可能です。