マネージド・セキュリティサービスプロバイダーを選択する上での考慮点
マネージド・セキュリティサービスプロバイダーを選択する上での考慮点
マネージドセキュリティサービスプロバイダー(MSSP)を選択する理由は数多くありますが、主な理由の1つとして、サイバーセキュリティに関するスキル不足を補うという内容を挙げることができます。サイバーセキュリティに関する適正な能力を持つ人材を探し出し、トレーニングを行ってスキルの高い専門家に育てあげ、維持していくことは決して容易ではありません。
MSSP をアウトソースする際に注意すべきその他の課題もあります。まず、サービス内容の説明が非常に複雑で、理解することが困難だという点です。例えば、サービス内容合意書 (SLA) に何が含まれ、また何が含まれていないのかなど、SLA 内容の比較自体が容易ではありません。
顧客は多くの場合、そのニーズ、質問内容、さらにMSSPとの連携によって見出したいと考える対象について制約を受けます。顧客は、MSSP が何を提供し、自分達がどんなリソースを提供する必要があるのかを、明確に理解する必要があります。
このため、以下の内容を理解しておくことが重要になります:
- 保護したい対象は何なのか?重要なアセットがどこに配置されているのかを把握しているか?
- MSSP からのインシデント報告に、適切に対処するための責任者は誰なのか?MSSPと上手くやり取りができるよう、社内のプロセスが適切に調整および配備されているか?
- インデント対応サービスを購入する場合、そのサービスの権利や制約に合意できるか?例えば、MSSP は CEO のラップトップを隔離したり、ファイアウォールのポートをブロックすることができるか?ビジネスにどのような影響があるか?特にマルウェアに対する攻撃の早期発見や軽減が重要。
- 多くの分野でユースケースに関する説明があり、特にこれらはマネージドサービスを購入する際に役立つ。
- どのKPI に合意し、その計測はどうやって実施するのか?KPI がどんなものかを完全に理解しているか?
MSSPが提供する脅威検知サービスとは一般的にどんなものなのか?理想的な MSSP サービスとは、ガートナーが提唱する SOC 可視化トライアド・モデルに準拠したものになります。トライアドは、ネットワークの検知と対応 (NDR)、エンドポイントの検知と対応 (EDR)、そして通常 SIEM が処理するイベントログを組み合わせたものです。このモデルを使用することで、MSSP はインシデント通知の関連付けを行い、レポーティングポータルに提供することができます。
これ以外の MSSP サービスを購入することも可能ですが、ガートナーや IDC、Forrester など複数の調査会社は、急増する脅威検知サービスが多くの投資を集めることになるだろうと報告しています。
ユーザーと MSSP の関係や責任について予測する際には、いくつかのシナリオを検討することをお勧めします:
- 自社で SIEM ソリューションを構築する
- 実現には、通常 12ヶ月以上の長い期間が必要。
- 企業内でサイバーセキュリティに関する適正な能力を持つ人材を探し出し、引きつけ、維持していくことは極めて困難。
- どのログリソースを使って開始するのか?セキュリティ面には何が良いのか?
- どうやって 24時間365日の対応を実現するのか?
- SIEM が提供する良好または不十分なマネージド MSSP
- 自ら構築するケースよりは早く実装できるかもしれないが、6ヶ月から 12ヶ月の期間が必要。
- お互いの関係を上手く管理できなければ、時間とともにその価値が低下する。
- MSSPは、どのログリソースが脅威の検知に適しているかについて、いくつかのアイディアを持つ。しかし、脅威検知のためのログ分析は、分析対象のログと同じだけの精度で機能する。
- 24時間365日サービスの提供が可能。
- Vectra が提供する優れたマネージド MSSP
- 6ヶ月から12ヶ月もの長い期間を費やすことなく、1ヶ月以内に、顧客に対してSIEM をサービスとして提供。
- 相互に合意した計画を用意し、運用の足並みを揃えることで、時間と共に価値を高める。
- 24時間365日サービスの提供が可能。
- EDR および SIEM をサービスとして構築し、脅威検出の強化を図る。
- SIEM、EDR、ファイアウォール、SOAR システムなど、既存のIT投資対象との統合も可能。全体的な価値を高め、さらに拡大する。
最後に、どの分野から始める場合でも、常に専任のプロジェクトマネージャーを配置して実装状況を監視することを念頭に置いてください。また、毎月の運用ミーティングに加え、MSSP との四半期毎のビジネスレビューを必ず実施してください。これによって、戦略的に生産的な業務関係を構築する手段を考え、全体的なサービスの価値だけでなく、サービスをさらに改善すべき分野を特定することが可能となります。
