マネージドセキュリティサービスプロバイダ(MSSP)とは、お客様のサイバーセキュリティプログラムの一部やすべてを請け負う組織です。MSSPは、脆弱性管理、検知と対応、アプリケーションセキュリティなど、さまざまな種類のサービスを提供するプロバイダの総称で、以下を始めとする多くの機能に精通していることが求められます。
セキュリティに対するプロアクティブおよびリアクティブなアプローチ: 包括的な セキュリティ プログラムは、 脅威に反応するだけではなく、脅威を探し出し、ネットワークに近づく前に阻止する必要があります。拡張検出と対応(XDR) などのプロアクティブな方法論をMSSPセキュリティサービスとその提供の範囲に含める必要があり、 エンドポイント を超えて脅威を早期に発見し、より迅速に阻止する必要があります。
お客様のビジネスに合わせたプログラム:MSSPは、お客様固有の環境を学習して可視化し、攻撃を減らすだけでなく、イベントに迅速かつ確実に対応し、セキュリティ体制を向上させるためにお客様一社一社に適したガイダンスを提供する必要があります。
アラートのレポートにとどまらない基本的なセキュリティ機能:通常、マネージドサービスのお客様は、MSSPチームが使用するテクノロジーすべてを活用することができます。例えば、ダッシュボード、レポート、必要に応じて情報とアラートをさらにカスタマイズする機能などがあります。
Gartnerは、MSSPを「セキュリティデバイスとシステムの監視と管理を提供する外部委託組織」と定義しています。この一文で注目すべき表現が「外部委託(アウトソーシング)」です。もし、セキュリティ組織が自社プログラムの機能のアウトソーシングを検討している場合、ネットワークの監視と保護に膨大なサポートを必要としている可能性があります。
その要因としては、予算の削減、経験豊富な人材の不足、保護が必要な新しいサービスや製品の増加が考えられます。MSSPは、セキュリティプログラムの大半の機能をカバーしています。
通常、MDRプロバイダは高度な脅威からの攻撃を阻止するため、24x365の監視やエンドポイントベースの攻撃者インテリジェンスなどの機能を提供します。また、MDRはお客様の環境とセキュリティ目標に関する深い知見に基づき、カスタマイズされたサービスを提供する必要があります。サービス担当者には、複数の検出手法を使用して、既知および未知の攻撃者を見つける能力も求められます。
MVMの専門家は、お客様が脆弱性管理プログラムを構築・改善し、ネットワーク資産をより適切に保護できるよう支援するだけでなく、優先順位付けと修正に向けて、脅威エクスポージャーの包括的な全体像を提供します。MVMサービスの機能には、通常、アナリストの実行するスキャン構成、月次レポート、マネージドインフラストラクチャメンテナンス、資産検出が含まれます。
アプリケーション開発は短期的なものであることが多く、セキュリティの強要やそれによって生じる組織間の摩擦などを避けることはできません。マネージドアプリケーションセキュリティプロバイダは、アプリケーションのセキュリティ体制の評価、レポート、改善する役割を果たし、通常、最新のフレームワークのほとんどを担当し、社内向けと公開インターネットに接続するアプリケーションをサポートするだけでなく、最もリスクの高い脆弱性のサブセットに対する結果を合理化することができます。
MSSPを使用すべき理由は多数ありますが、その中で最も重要と思われる理由が、特定の実務分野での人員不足です。MSSPプロバイダを導入することで、検知と対応、脆弱性管理、アプリケーションセキュリティなどにおけるお客様の能力を迅速に拡張できます。
セキュリティ態勢の改善:専門家チームと連携することで、SOCはリスクを早期に発見し、攻撃面を縮小し、デジタルフォレンジック・インシデント対応(DFIR)手法で調査を行う準備を整えることができます。
ユニークかつ価値のあるスキルセット:社内のSOCで問題となりがちな、熟練した人材の不足についてはすでに言及しましたが、こうした人財を惹きつけるための採用プログラムの強化にはコストがかかり、また採用できたとしてもその人材が長く勤務してくれるとは限りません。MSSPはこうした専門的なスキルをすぐに提供することができます。
間接費の削減:MSSPの採用により、あらゆる脅威と脆弱性を阻止するために広範かつ専門的なサイバーセキュリティソリューションを自社で所有する必要がなくなります。確かに、MSSPの導入にかかる費用もありますが、MSSPがお客様に代わってテクノロジーを最新の状態に保つ責任を負います。加えて、通常は、ネットワークトラフィック分析やユーザー行動分析などへのアクセスも得られます。
脅威や侵害に対する修正の迅速化 : 信頼できるMDRパートナーなら、毎週修正に費やす所要時間を時間単位から分単位に減らすなど、修復を実行するSOCの能力を変革できるはずです。修正に要する平均時間は、プロバイダがお客様の環境に合わせて特別に調整されたアクション計画を作成することで大幅に短縮されます。
マネージドサービスプロバイダ(MSP)とMSSPの違いは、前者がIT運用サービスプロバイダであり、後者がITセキュリティサービスプロバイダである点にあります。対象分野に運用とセキュリティの違いはありますが、企業は収益性と実行可能性を向上させるために運用を保護する必要があるため、上記の2つは密接に関連しています。通常、MSPはパッチ適用、脅威検出、マルウェアソリューションなどの基本的なセキュリティを提供しますが、脆弱性スキャン、DFIRツール、XDRソリューションなどの高度な機能を提供するには至りません。
コロナ禍の発生に伴い、セキュリティニーズの高まりが全体的に加速したことから、MSPからMSSPへの移行を図るプロバイダが増えています。
契約の締結とセキュリティ組織へのMSSPのサービスの実装は、喜ばしい瞬間となります。ベンダー探しは終了し、問題点も特定でき、ストレスが軽減されるだけでなく、自社に代わって最新のテクノロジーを活用してくれる熟練したアナリストチームの到着を待つばかりのように感じられます。
しかし、まずは最適なプロバイダ探しから始める必要があります。どのプロバイダが自社に合っており、最も適しているかを見極めるにはどうすればよいでしょうか。最適なプロバイダ探しには、以下のような考慮すべき点があります。
毎日、または毎月のサービス対応はどのようなものでしょうか。連絡先は一本化されていますか?それともMSSPに連絡するたびに別のサービス担当者が対応しますか?単にセキュリティ運用に重点を置いているプロバイダでしょうか、それとも成熟度を高める上で役立つでしょうか。
ご検討中のベンダーは、脅威が高まるこの時代に、成果向上に注力していますか? あるいはログやデータを分析し、 脅威ハンティング やインシデント管理を行いますか? つまり、ベンダーが作業を開始した後、他のビジネス上の優先事項に集中し、全体的なセキュリティ体制を改善できるかという点に集約できます。
導入を検討しているMSSPは、データの収集と分析の両方を行えるでしょうか。ベンダーが収集したデータから実用的なインテリジェンスが得られなければ、導入の意味はありません。マネージドセキュリティサービスパートナーは、ネットワーク全体の通常のユーザー行動のベースラインを構築し、そのベースラインから学習した内容に新しいアクションを照らし合わせることができなければなりません。こうしたデータ、つまりはユーザー行動分析(UBA)を活用することで、MSSPは曖昧な事前特定に頼ることなく脅威を明らかにすることができます。
Rapid7のマネージドSOCサービスの詳細