“金ドブセキュリティ外注”を避けるには 選定ポイント2選

アラート調査をはじめとした自社のセキュリティ業務の一部を外部に委託するマネージドセキュリティサービスに注目が集まっている。多様化・高度化するこのサービスから本当に自社に合うものを選定する際のコツは何か。

[高橋睦美，キーマンズネット]

　「ランサムウェアに感染して事業が停止した」「情報漏えい事件が発生して顧客への謝罪対応に追われた」――世の中でそんなインシデントが起こる度、これまでのセキュリティ対策を見直し、必要に応じて新たなツールを導入してきた企業は多いはずだ。

　しかしセキュリティツールはただ導入するだけでは不十分で、アラートの内容を精査したり、ポリシーをチューニングしたりするなど日々の運用を適切に実施しなければ最大限の効果は見込めない。

　ただし、この運用こそ多くのIT管理者やセキュリティ担当者の負荷を高める大きな要因になっている。セキュリティ人材不足が叫ばれる今、貴重なリソースを運用に割くのは困難という声もよく聞く。

　そこで注目を浴びているのが、セキュリティの運用やインシデント対処などの業務を外部リソースに委託する「マネージドセキュリティサービス」（以下、MSS）だ。本稿はMSSが注目を集める背景やMSSの選定のポイント、導入の注意点を解説する。

注目を集めるマネージドセキュリティサービス　その背景にある根深い問題

　クラウドストライクの鈴木 滋氏（執行役員　セールスエンジニアリング本部本部長）は「MSSとは端的に言えば、さまざまなセキュリティ製品のアラートが上がった際、自社に代わってそのアラートを調査したり、対処の優先順位付けを実施したり、有事の際には端末をネットワークから隔離したり修復したりするいった業務を代行するサービスの総称ですが、内容や対応範囲は提供元、契約内容によりさまざまです」と話す。

　エンドポイントであれば次世代アンチウイルス（NGAV）やEDR（Endpoint Detection and Response）、インターネットとの境界であればUTM（Unified Threat Management）やメールフィルタリング、Webアプリケーションファイアウォール（WAF）など、企業が導入するセキュリティ製品は幅広く、種類は増え続けてきた。比例してセキュリティ担当者が監視すべきアラートの数も増大し、一部では「セキュリティ疲れ」を引き起こしている。

　「これらの製品から発生するアラートの内容は、ある程度のセキュリティ知識やスキルを持っていなければ読み解くのが難しく、知識がない場合、アラートを見ても『状況は深刻なのか』『具体的にはどう対処すればいいのか』が端的に分からないケースもあります」

　実はこうした問題はインターネットが普及し始めた頃からついて回ってきた。2000年代前半、不正アクセスの存在が認知されるにつれて、ファイアウォールやIDS／IPS、WAFといったネットワークセキュリティ機器が境界部分に導入されるようになった。それらがさまざまなアラートを発し、中には多くの誤検知・過検知が含まれているため運用の負荷が増していった。そこに着目し、アラート対応を代行するMSSが生まれた。

　その後「エンドポイントに導入するEDRなどのエージェントを監視したい」、さらには「ネットワークとエンドポイントを統合的に監視するXDR（Extended Detection and Response）を実現したい」といった具合にニーズは広がり、MSSもそれに合わせて進化している。

　鈴木氏によると、MSSへの需要が高まる背景には、セキュリティ人材不足に加え攻撃の高度化という要因があるという。

　「クラウドストライクが公開した『2024年版グローバル脅威レポート』によると、攻撃者が被害者のシステム環境に入り込んでから脅威の横展開を実行するまでの『ブレークアウトタイム』は、2018年は9時間42分でしたが、2023年には62分にまで短くなっています。つまり、以前はアラートが上がってから9時間以内に調査・対処すれば横展開を防げていましたが、今や62分以内にアラートの内容を理解し、対応を開始するだけではなく完了させなければなりません」

　さらにランサムウェアをはじめとしたサイバー攻撃の多くが金曜日の夜や週末など、人員の対応が手薄なタイミングを狙ってくる。これに備えて24時間365日の監視体制を自社で整備しようとすると、リソースや設備などに多くの投資が必要だ。鈴木氏は「自社のメンバーだけでは、土日夜間も含めて短時間で対処していくのは限界がある、という判断から、MSSのニーズが高まっている背景もあると思います」と語る。

　この他、米国などで顕著なケースだが、既にSOCを整備して監視体制を構築したものの、コストが重荷となり、自社で抱えるよりも外に依頼した方がコストパフォーマンスがよくリソース不足やスキル不足によるセキュリティリスクも発生しないという判断からMSSに切り替えるケースもあるという。

MSSの進化は止まらない　広がるサービスの「幅」と「深さ」

　20年以上市場で提供されてきたMSSだが、近年のトレンドとしてはサービスの「幅」と「深さ」の拡大が挙げられる。

　「幅」とは、MSSが対応するソリューションの種類や製品の広がりを指す。ソリューションごとにコンソールを使い分け、運用を任せるのは顧客にとっても非効率だ。そこでエンドポイント製品だけではなく、ネットワークセキュリティやメールセキュリティをまとめて監視するなど、どのプロバイダーも対応できる製品の幅を広げているという。

　最近は、アイデンティティー管理基盤やSASE（Secure Access service Edge）、SSE（Security Services Edge）といったクラウドベースのセキュリティ製品も統合的に運用したり、各セキュリティ領域の製品のアラートを相関分析し、環境全体のリスクを明らかにするXDRへと拡大したりする動きもある。ベンダー自身がMSSを提供する場合でも、自社製品だけでなくサードパーティー製品も含めて管理するケースが増えてきている。

　もう一つの「深さ」とはサービス内容の高度化を指す。「アラートを受け取って一次仕分けし、深刻なものがあれば担当者に通知する」というシンプルな運用代行だけでなく、「このアラート内容は緊急性が高いため、至急対応をすべきだ」といったアドバイスをしたり、アドバイスで終わらずに緊急時には端末のネットワーク隔離やマルウェア駆除といった初期対応を代行したりするサービスも登場している。

　鈴木氏は「『アラートを受け取って仕分ける従来型のMSSでは、アドバイスをもらったとしても結局運用の手間が減らない』と言った声があります。また、運用者のスキルが足らない場合、事実上対処が難しいため、深いところまで肩代わりできるMSSが増えています」と述べる。

　さらに対処後の運用までカバーするサービスも登場している。アラートが誤検知・過検知だった場合、それ以降は同じアラートが発生しないようにホワイトリストに追加するチューニング作業を代行し、運用に立ち入って支援する。エンドポイントを対象とするMSSの場合、端末側に導入されたエージェントのバージョンを確認してバージョンアップしたり、エージェントが未導入の端末を検知してユーザに通知を行ったりするようなサービスもある。

　このように「幅」と「深さ」が広がりをみせる背景には「アラート対処の具体的な方法が分からない」「対処法を指示するだけでなくその先も任せたい」というニーズの高まりがある。鈴木氏によると、コロナ禍を機にテレワークが広がり、オフィスにいたときのようにアラート元の端末や機器にすぐ駆け付けて対処するのが困難になったことも、MSSが進化した要因の一つだという。

自社に本当に合う“MSS選定のポイント”

　「幅」と「深さ」が広がれば、セキュリティ担当者の負担が低減するのは確かだが、その分コストも増えるためこれらはトレードオフの関係にある。では自社に合ったMSSを選択するポイントは何か。

　まず確認すべきは「自社でどのようなセキュリティ製品を運用しており、どこに工数がかかっているのか」だ。「幅」が定義できれば、自ずとコストパフォーマンスを考えながら「どの部分を任せたいのか」が見えてくる。

　最近ではアラートの大半がエンドポイントから上がるため、その対応に最も工数を割くケースが多い。そうした場合はエンドポイントの対応に強いMSSを選択すれば、コストを削減できるだろう。もちろん企業によってはネットワークやクラウドの部分を任せたい、というケースもあるはずだ。

　同時に、自社が守るべき資産やデータは何かを踏まえた上で「仮にそれらが侵害された場合、どのくらい迅速に対応するか」という観点で、対処のスピードアップが必要な場所をMSSでカバーするという考え方もある。

　MSSの「深さ」も重要だ。セキュリティベンダーやサービスプロバイダー、SIなどさまざまな企業が、それぞれの強みを打ち出したMSSを提供している。それぞれのサービスレベルと「自社はどこまで任せたいのか。通知だけでいいのか、対処も任せたいのか」を照らし合わせることも選定のポイントだ。

　「できればネットワーク隔離やプロセスの停止といった対処までやってほしい」というニーズとともに、「不必要なサービス停止は避けたい」というのが企業の本音だろう。攻撃拡大を避けるために、どこまでサービス停止を許容するかは、リスクの深刻さと停止による影響を見比べて判断する必要があり、一律に決めるのは困難だ。

　鈴木氏はこうした場合、「再起動やネットワーク隔離、修復といった操作を何でも許可する、従業員の端末などを所属させるグループと、いかなることがあっても隔離はしない基幹サーバ群などのグループなどを分けて運用することが一般的です。もちろん本当にクリティカルな場合はMSS側から至急対応すべきと連絡することもあります」とアドバイスする。

　鈴木氏はこの他の選定ポイントとしては以下も挙げている。

定期的なレポート提出の有無

　アラートを受けて逐次調査・対応するだけでなく「月次あるいは3カ月ごとにレポートをまとめて提出してほしい」といった顧客ニーズもある。月次レポートの提出に加えて、検出傾向を踏まえて推奨される設定や追加すべき製品をアドバイスする、コンサルティングに踏み込んだサービスを組み合わせるケースもある。ただし、レポートは定型化することも多く、形骸化している内容なら不要な場合も多い。

海外拠点に対するサービス提供の可否

　最近は海外の拠点や工場、子会社などを介してサイバー侵害を受けるケースが増えており、サプライチェーン対策の必要性が高まっている。その一環として、海外子会社に対するセキュリティガバナンス強化に取り組む企業も増えてきた。その際、各拠点に導入されたセキュリティ製品をどのように運用するかが課題となるが、国内だけでなく海外もカバーできるサービスを選択すれば、統一されたポリシーの下で一元的な運用が容易になる。

　この場合、MSSのサポート窓口が、日本語だけでなく英語をはじめとする多言語に対応しているかどうかもポイントだが、MSSで監視するセキュリティツールが複数リージョンでの運用を前提にしているかどうか、マルチテナントに対応して権限委譲が可能かどうかもチェックしておくべきだ。

第三者機関による評価

　複数の調査会社がMSSを評価し、格付けしている。これらの情報も特に上層部へ稟議を通す際の根拠の一つとして役に立つだろう。

　これらの要件がポイントとなるが、最も大きな要素は、自社が用意できる予算と社内のリソースだろう。自社で運用を回す場合、セキュリティスキルを持つ人材を最低で何人そろえるべきかを検討し、その人件費を計算することで、自力で運用するか、外に任せるかの判断が見えてくる。

　「当社に相談いただく場合、『EDRで詳細なログは取得できるが自分たちで運用するのは難しいので、MDR（Managed Detection and Response）ありきで検討しています』、あるいは『自社で頑張るつもりで検討しています』と、はじめから方針を決めている顧客が多い印象です」

　全体としてリソースの少ない中堅・中小企業では、通知だけでなく対処まで支援してもらえる「深い」サービスを選定する傾向が強い。一方、多くの拠点を抱え、さまざまなセキュリティ製品を導入している大企業になると、MSSが対応する製品の「幅」が重視される他、多言語に対応していて海外での運用が可能かどうかが問われる傾向にある。中には国内の運用は整備済みの社内SOCで実施し、海外だけMSSを活用するケースもあるという。

「自分たちは何を任せたいか」を明確にした上で選定を

　運用サービスの効果を定量化するのは難しいが、鈴木氏によると、同社の顧客の中には「仮に一人当たりの人件費を1000万円以上と仮定すると、セキュリティ製品の運用には最低でも3人必要となり、年間で3000万円以上かかることになるため、外部のMSSに任せた方がコストメリットがある」と判断し、導入を決めたケースがあるという。

　しかし単純にコストだけを基準に選定すると、求めていたサービスが得られず「結局、自分たちでアラートを見なければならないし、対処しなければならない」と、工数が変わらない結果に終わることもある。「幅」と「深さ」を軸に「自分たちが任せたい部分」とサービス内容が合致しているかを確認することは欠かせない。その意味で、「丸投げ」ではうまくいかないと考えるべきだろう。

　一方で工数がかかり、手を動かさなければならない部分をうまくアウトソースできれば、中長期的なセキュリティ戦略や計画を策定したり、次に強化・改善すべきポイントを検討したりするといったセキュリティ担当者が本来フォーカスすべき業務に専念しやすくなるという。

　「月並みですが、市場にはいろいろなMSSがあるため、自社が何を必要としているのか、各ベンダーはどういったところをカバーしているかを見比べ、自社の求める要件に応じて優先順位を付けて選択していくのがいいと思います」