“セキュリティ担当がいない会社”の戦い方――小規模組織の守り方を科学する
専任ゼロでも守れます。鍵は仕組み化と外部の力の使い方。この2点を押さえれば、CSIRTがなくても“動ける会社”になります。
最小構成のセキュリティ設計
- 入口防御:メール防御(SPF/DKIM/DMARC)、Webゲートウェイ、MFA。
- 端末防御:EDR(PC)とMTD(スマホ)をポリシー最小限で導入。
- データ保護:クラウドDLPと権限テンプレ、共有リンクの期限・監査。
- 復旧:オフライン含むバックアップ3世代、復元の定期演習。
外部委託の勘所(最初に決めること)
- 監視の範囲:メール/EDR/クラウド/ID。どのイベントを誰が一次対応するか明文化。
- 通知→封じ込めのSLA:重度アラートは何分以内に封じ込めるか。
- 窓口の一本化:時間外の連絡・承認・隔離の権限を明確に。
“回る運用”を作るリズム
- 週次:主要アラートのレビュー、例外の棚卸し。
- 月次:アクセス権限の棚卸し、退職者の削除確認。
- 四半期:BCP演習(ランサム想定)、復元テスト、パスワードレス移行の進捗。
ツールの優先順位(少ないほど回る)
① EDR/MTD → ② IdP+MFA → ③ メール防御/DLP → ④ バックアップ運用。
導入順ではなく“運用できる順”で選ぶのがコツ。運用できない機能は負債です。
よくあるつまずき
- アラート地獄:高/中/低を3→2レベルに簡素化、例外は期限付き。
- 棚卸し不在:退職者アカウントと共有リンクが残りっぱなし。
- 設定ドリフト:SaaSの設定変更が黙って増える。月1の“設定差分チェック”を自動化。
結論
専任がいなくても、“小さく始めて回す仕組み”は作れます。ツールを増やすより、運用の手数を減らす。これが最短の強化ルートです。
