MSS(マネージドセキュリティサービス:Managed Security Service)は、セキュリティ対策の運用・管理を外部の協力会社にアウトソーシングするものです。マネージドセキュリティサービスを提供するベンダーには、セキュリティのほかシステムやネットワークの維持・保守・監視なども提供する「マネージドサービスプロバイダー(MSP)」や、セキュリティに特化した「マネージドセキュリティサービスプロバイダー(MSSP)」があります。
本稿では、MSPおよびMSSPを「MSS事業者」と表記します。
MSSが必要とされる背景として、高度化するサイバー攻撃とセキュリティ人材の不足という点が挙げられます。
テレワークの普及や事業のデジタルトランスフォーメーション(DX)の進展により、企業のデジタル環境は急速に拡大しています。現在、デジタル環境は事業の成長を支える重要なビジネスドライバーとなっており、それを守るサイバーセキュリティの重要性も増しています。しかし、クラウドやIoTなどの技術の多様化と複雑化により、デジタルインフラの管理はますます難しくなっています。ビジネスのデジタル依存度が高まる中、サイバー攻撃によって企業活動が停止する事例も国内で増加しています。このような状況下で、組織は常にサイバーセキュリティ戦略を見直し、最新の状態に保つことが求められます。ビジネスが絶えず革新と進化を続けるように、サイバー攻撃も日々高度化・複雑化しているためです。
参考レポート:2024年上半期サイバーセキュリティレポート
サイバー攻撃の脅威は年々増加しており、企業規模や知名度にかかわらず、攻撃を受ける可能性があります。日々、高度化するサイバー攻撃に対応するためには、セキュリティ製品の導入だけでなく、専門的な知識・スキルにもとづいた適切な運用が重要です。しかし、企業内部で高度なセキュリティ知識を有した人財を確保することは困難です。
日々、高度化するサイバー攻撃に対応するためには、セキュリティ製品の導入だけでなく、専門的な知識・スキルにもとづいた適切な運用が重要です。しかし、急速に進化する脅威に対抗するためのセキュリティ人材が圧倒的に不足している現状があります。
図:組織におけるサイバーセキュリティの課題(トレンドマイクロ調べ)
こうした背景から、セキュリティ対策の運用・管理を外部の協力会社にアウトソーシングするMSSが必要とされています。
MSSを導入することのメリットは以下の通りです。
サイバー攻撃の脅威が深刻化するなか、多くの企業で、セキュリティ部門の慢性的な人員不足が課題になっています。SOCを備えた企業でも、SIEMやXDRなど多数のセキュリティ製品の運用に苦慮しています。数多く発生するアラートの分析・対応も、セキュリティ部門の貴重な時間を奪う原因となっています。
そうした中で、セキュリティに関する豊富な経験や資格、また新しいテクノロジーに関する知識を備えた専門家のサービスを利用することは、セキュリティ担当者の支援や負担軽減に役立ちます。監視対象や対応する範囲は、サービス提供者により異なります。利用者はサービス提供者側に求めるセキュリティ要件を策定し、サービス提供者側と協議をしながら、対策を選定します。24時間365日のシステム監視や、障害発生時の復旧作業まで提供するサービスもあります。
サイバー攻撃の深刻化のほか、企業の継続的なコンプライアンス順守も課題です。コンプライアンスは、ビジネスの重要課題と認識されていないケースも多く、プロセスの混乱やリスクの増大につながる可能性があります。MSS事業者の中には、コンプライアンス順守を証明するために必要となる関連データの収集、システムやプロセスの監視、内部および外部への報告を遂行する専門人材を配置しているベンダーもあります。また、多くのコンプライアンス要件で要求されるような脆弱性を抱えるソフトウェアの修正プログラム適用、脆弱性を抱えるIT機器の交換などを支援するサービスもあります。
サイバーリスクを最小限に抑えるためには、知識と経験に長けたセキュリティ専門人材が必要です。MSS事業者は、社内セキュリティ部門で発生するセキュリティトレーニング関連の時間や費用の負担を抑え、サイバーリスクを管理する専門知識を提供します。
また、インシデントレスポンス(IR)サービスを提供しているMSS事業者であれば、インシデント発生時の復旧計画に関する定期的なテストを実施することで、攻撃された場合に最も効果的なプロセス、手順、ポリシーの適用を確認することも可能です。
数多くのMSSから見定める基準の一つとして、経済産業省が策定した「情報セキュリティサービス基準審査登録制度」が一つの参考基準となるでしょう。この情報セキュリティサービス基準におけるセキュリティ運用監視サービスを事業者選定基準として捉え、その事業者が提供しているサービス内容を基に、サービスの検討を進めてみると良いでしょう。
MDR(Managed Detection and Response)は、サイバー攻撃の侵入を前提として、脅威の特定と監視、脅威への対処を行うアウトソーシングサービスです。サービスの中核として、EDR( Endpoint Detection and Response )やXDR(Extended Detection and Response)が用いられ、アラート監視やエンドポイント隔離などの初動対応、調査・分析などを含むものもあります。いわば、SOCとCSIRTの業務の一部をアウトソースするとも言えるでしょう。
実際、プロバイダーが提供するサービスの傾向を見ると、MDRは主に脅威検知/レスポンスをサービスの中核に位置づけて構築されているケースが多く見られます。対照的に、MSSはセキュリティの監視を重視しているものが多いようです。しかし、実際には境界線があいまいで、この2種のサービスは相互補完関係であったり、オーバーラップ(重複)する部分もあります。
MSSとMDR。混同されがちな用語の違いを説明しました。サイバー攻撃の動向が変化する中、サービス提供者は様々なサービスを展開・拡充します。
先に述べたXDRは、サイバー攻撃の事後対処として、脅威がユーザ環境に侵入した際に、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う機能です。
XDRはエンドポイントに加え、メール、サーバ、クラウドワークロード、ネットワーク等、複数のセキュリティレイヤからテレメトリを収集し、分析します。例えば、メール経由で脅威が侵入した場合、メールの件名や受信時間、感染のトリガーとなったファイルの特定、その他ユーザにおける受信状況などを調査します。そして、影響を受けたデバイスの隔離や不審ファイルのブロックを行い、脅威の封じ込めと適切な復旧を実現します。現在のサイバー攻撃は、エンドポイントに限定されず、法人組織内のネットワークに横感染(ラテラルムーブメント)を広げ、目的となる情報を窃取します。そのため、EDRよりも広範囲でサイバー攻撃の兆候をとらえることができるXDRを用いたMXDR(Managed XDR)が主流になっていくことが想定されます。
サイバー攻撃のインシデント調査で、攻撃を可視化し、根本原因を分析する役割を果たすEDR・XDR。本記事では、混同される傾向があるEPP、EDR、XDRの役割や違いを改めて解説します。
ますます高度化・複雑化するサイバー攻撃-。既に聞き飽きたフレーズですが、結果的に事業停止に陥る組織の事例は、現在も枚挙に暇がありません。その対抗策として注目を浴びる「XDR」。今XDRに求められる3要素とは何なのか?を解説します。