マネージドセキュリティサービスプロバイダー(MSSP)を選択する理由は数多くありますが、主な理由の1つとして、サイバーセキュリティに関するスキル不足を補うという内容を挙げることができます。サイバーセキュリティに関する適正な能力を持つ人材を探し出し、トレーニングを行ってスキルの高い専門家に育てあげ、維持していくことは決して容易ではありません。
MSSP をアウトソースする際に注意すべきその他の課題もあります。まず、サービス内容の説明が非常に複雑で、理解することが困難だという点です。例えば、サービス内容合意書 (SLA) に何が含まれ、また何が含まれていないのかなど、SLA 内容の比較自体が容易ではありません。
顧客は多くの場合、そのニーズ、質問内容、さらにMSSPとの連携によって見出したいと考える対象について制約を受けます。顧客は、MSSP が何を提供し、自分達がどんなリソースを提供する必要があるのかを、明確に理解する必要があります。
このため、以下の内容を理解しておくことが重要になります:
MSSPが提供する脅威検知サービスとは一般的にどんなものなのか?理想的な MSSP サービスとは、ガートナーが提唱する SOC 可視化トライアド・モデルに準拠したものになります。トライアドは、ネットワークの検知と対応 (NDR)、エンドポイントの検知と対応 (EDR)、そして通常 SIEM が処理するイベントログを組み合わせたものです。このモデルを使用することで、MSSP はインシデント通知の関連付けを行い、レポーティングポータルに提供することができます。
これ以外の MSSP サービスを購入することも可能ですが、ガートナーや IDC、Forrester など複数の調査会社は、急増する脅威検知サービスが多くの投資を集めることになるだろうと報告しています。
ユーザーと MSSP の関係や責任について予測する際には、いくつかのシナリオを検討することをお勧めします:
最後に、どの分野から始める場合でも、常に専任のプロジェクトマネージャーを配置して実装状況を監視することを念頭に置いてください。また、毎月の運用ミーティングに加え、MSSP との四半期毎のビジネスレビューを必ず実施してください。これによって、戦略的に生産的な業務関係を構築する手段を考え、全体的なサービスの価値だけでなく、サービスをさらに改善すべき分野を特定することが可能となります。
Henrik Davidsson is director of sales business development at Vectra, where he is responsible for customer value creation & managed service providers. He has over 15 years’ experience in working with large enterprises, service providers and always stays in the frontline of new security challenges and coaching end customers and partners alike on how to augment their security posture and cyber resilience. Henrik has held leading position at companies such as Cisco, Juniper Networks, VMware, FireEye and NTT Security.