「マネージドセキュリティサービス」最新事情：IT導入完全ガイド（4/5 ページ）

[小池晃臣，タマク]

段階的に用意されたMSSのサービスメニュー

　多くのベンダーでは、MSSのサービスレベルに応じたメニューを用意しており、インシデント発生時の通知までの時間や内容の細かさなどについてもさまざまとなっている。月次や四半期ごとに顧客で発生したインシデントに関するレポートを行うサービスもある。

表1 MSSのサービスレベルと成果物の例（出典：SecureWorks Japan）

　セキュリティ機器の監視サービスと管理サービスにおける対応範囲や内容について、一般的なメニューは以下のようなものとなっている。

表2 MSSにおける監視サービスの仕様の一例（出典：SecureWorks Japan）

表3 MSSにおける管理サービスの仕様の一例（出典：SecureWorks Japan）

　またイベントやインシデントが発生した際の通知については、イベントやインシデントの重要度を明確に定義した上で、その内容に応じて電話やメールなどでの通知を行う。こうした重要度の分類は、企業側との協議の上でカスタマイズ可能なベンダーもある。

表4 イベントやインシデントの重要度とアラートの通知方法（出典：SecureWorks Japan）

コラム：自社でMSS同等のセキュリティ対策を講じるには、24人のセキュリティ専任者が必要？

　あるベンダーのSOCでは、契約する850の顧客組織に設置されたセキュリティ機器から毎日8億ものイベントデータが送られて来ており、それを独自の相関分析システムで自動的に1万数千件に絞込んだ後に、さらにセキュリティアナリストの目でチェックを行っている。こうして日々15件から30件ほどの重要インシデントを顧客に通報しているのである。

　もしこれと同じことを自前で行うとなれば、セキュリティ専門スタッフが最低でも24人、必要になってくる。24時間365日の監視体制となるため、一日3交代として4人一組（1：分析担当、2：デバイスの運用担当、3：オペレーション担当、4：休憩、休暇スタッフの代替要因）のチームが3つ。健康状態など万全の状態で臨むためには、チームが2組ずつ必要となるため計24人という計算だ。これだけの専任スタッフを常時稼働させ続けるコストと見合うかどうかが、MSSを検討する際の1つの指標、そして損益分岐点となるかもしれない。