企業のセキュリティ運用を支援するマネージドセキュリティサービス(MSS)は、セキュリティデバイスSecurity Operation Center(SOC)の運用を外部に委ねる形として、これまでも多くの企業で活用されてきました。
近年では、従来のMSSプロバイダー(MSSP)によるサービス提供に加え、セキュリティ製品メーカー自らが監視、分析、対策支援まで提供するサービスも増えています。
本ブログでは、MSSの提供形態が多様化する中で、MSSとMDRサービスの基本的な考え方を整理したうえで、後述で定義するメーカー型MDRとMSSP型MDRの違いやそれぞれの特徴、留意点などを解説します。
自社のシステム環境や運用体制に合ったサービスモデルを見極める一助となれば幸いです。
MSSとは、企業や組織の情報セキュリティシステムの運用管理を、社外のセキュリティ専門企業などが請け負うサービスのことです。
自社でセキュリティ専門家を採用、育成することが難しい場合でも、専門家へアウトソースすることで、一定水準以上のセキュリティ運用を実現しやすくなります。
一口にMSSといっても、サービスの内容は提供事業者によって異なります。セキュリティ対策製品やデバイスの死活監視を中心とするものもあれば、ネットワーク設計、セキュリティ対策の導入、運用支援、さらには24時間365日の体制によるセキュリティ監視やログ分析、インシデント対応支援まで含むものもあります。
MSSは単一機能のみを提供するサービスではなく、セキュリティ運用を外部の専門組織が支援するサービス群として捉えると分かりやすくなります。
MDRサービスとは、社外のセキュリティ専門企業が企業のシステム環境から収集されるログを基に、セキュリティ脅威の検知、分析、対応を支援するサービスです。一般的には、24時間365日の監視体制や、専門アナリストによるアラート分析、脅威の有無の判断、初動対応支援などが含まれます。
MDRサービスは、特に「分析」や「対応」に重点を置いている点が特徴です。従来型の監視サービスがアラート通知を中心としていたのに対し、アラート内容を分析し、脅威の有無や影響範囲を判断したうえで、必要な対応につなげることを重視しています。
MDRサービスをMSSの一種に分類する考え方もあります。MSSがセキュリティ運用全般を支援する概念であるのに対し、MDRサービスはその中でも検知、分析、対応に焦点を当てたサービスとして捉えると整理しやすくなります。
|
|
MSS |
MDRサービス |
|
主な目的 |
セキュリティ運用全般の支援 |
脅威の検知、分析、インシデント対応支援 |
|
サービス提供内容 |
セキュリティ機器の運用監視、設定変更、レポーティング、脆弱性管理 など |
アラート分析や脅威判定、初動対応や封じ込め支援 など |
|
主な対象企業 |
セキュリティ運用負荷の軽減や予防的な対策を強化したい企業 |
セキュリティ脅威やインシデントへの事後対応力を強化したい企業 |
MSSというサービス自体は決して新しいものではありません。これまでMSSPは、企業のセキュリティ運用やSOC運用を支援する存在として、多くの企業で活用されてきました。
近年見られる変化は、MSSやMDRサービスを提供する主体や考え方が多様化してきている点です。従来、MSSPが環境全体を俯瞰したセキュリティ運用やMDRサービスを提供する形が一般的でした。
近年では、セキュリティ製品そのものを提供するメーカーが、自らSOCを運営し、自社製品を前提としたMDRサービスを提供するケースも増えています。
本ブログでは、便宜上、このようなサービス形態を「メーカー型MDR」と呼称します。
このような変化により、同じ「MSS」や「MDR」という言葉であっても、サービスの前提、対象範囲、運用方法などに違いが生まれています。
重要なのは、どのモデルが優れているかではなく、自社のシステム環境や運用体制に合ったサービスモデルを選択することです。
メーカー型MDRは、セキュリティ製品メーカーが自社製品を前提として、セキュリティログの検知、分析、インシデント対応支援などを提供するサービスです。近年、メーカー型MDRが増加している背景には、主に以下のような要因があります。
EDRやXDR製品などの普及により、企業が扱うセキュリティログやアラートの量、種類は大幅に増加しています。これらを正しく解釈し、迅速に対応するためには、高度な専門知識が必要です。
このような状況下で、製品仕様や検知ロジックを最も深く理解しているメーカー自身が、運用そのものを担うという考え方が生まれやすくなっています。
EDRやXDRなどのセキュリティ製品は機能や検知技術の成熟が進み、製品ライセンスの提供だけでは差別化が難しくなってきています。そのため、メーカー自身が新たな価値提供の形として、運用サービス領域へ提供範囲を拡張する動きが見られます。
メーカー型MDRのメリットとして、以下が挙げられます。
・自社製品の仕様や検知ロジックを踏まえた分析が期待できる
・単一メーカーで商流が完結するシンプルなサービスモデルである
・製品に実装された自動対処機能や管理機能と連携しやすい
・特定製品を中心とした検知、分析、対応支援を効率的に開始しやすい
特定メーカーの製品を中心にセキュリティ基盤を統一している企業や、まずは対象製品の検知、分析、インシデント対応支援を効率的に開始したい企業にとって、有効な選択肢となります。
しかし、メーカー型MDRは、自社製品を中心としたサービス設計であることが多く、留意いただく点があります。
|
観点 |
特徴 |
留意点 |
|
サービス提供内容 |
自社製品を中心に検知、分析、インシデント対応する強みがある |
MDRサービスを中心としているため、特に運用の支援範囲はメーカーが標準化した範囲に限定される |
|
サービス範囲 |
自社製品から取得できるログを中心に扱う 自社製品について高い理解に基づく分析が期待できる |
他社製品や周辺システムへの対応範囲はサービスにより異なる 他社製品に対応していても、自社製品と同等の監視レベルとは限らない |
|
運用サポート |
製品知識を豊富に有するチームと連携しやすい |
日本語対応、報告内容、対応品質は提供事業者ごとに差がある |
運用について、メーカー型MDRは近年台頭してきたこともあり、現状限られたリソースでサービス提供するため標準化された運用モデルを提供されることが多くなっています。お客様の業務要件や運用ルールに合致するかご確認いただくことを推奨します。
また、他社製品への対応範囲や監視レベルは事前に確認が必要です。他社製品のログを取り込める場合でも、分析ルールが限定的であったり、自社製品ほど深い調査や対応が行われなかったりする場合があります。
MSSPは、情報セキュリティの専門知識や高度プロフェッショナル人材を有して、MSSを提供するセキュリティベンダーです。MSSPは、特定の製品だけでなく、お客様環境全体を俯瞰しながら、運用、監視、改善までトータルでセキュリティ運用を支援します。
MSSPが提供するMDRサービスを、本ブログでは、「MSSP型MDR」と呼称します。MSSP型MDRは、MSSPが複数のセキュリティ製品やシステム環境を対象に、検知、分析、インシデント対応支援を提供するサービスです。
MSSP型MDRのメリットとして、以下が挙げられます。
・複数メーカー製品を横断した検知、分析、対応支援が可能
・セキュリティ監視に加えてサーバー監視、ネットワーク監視など運用のアウトソースも可能
・同一MSSPにMDRサービスを含めて依頼することでシステム環境全体を統合的に監視しやすい
・企業ごとのシステム構成や業務特性に応じた運用設計がしやすい
複数のセキュリティ製品やITシステムが混在する環境では、個別製品ごとのアラートを見るだけではなく、それらを横断して状況を把握することが重要です。MSSP型MDRでは、製品単位ではなく、環境全体を踏まえた運用や分析につなげやすくなります。
MSSP型MDRにも事前に留意いただく点があります。
|
観点 |
特徴 |
留意点 |
|
サービス提供内容 |
オンプレミスやクラウドなど、複数環境に対する検知、分析、対応支援を行うと同時にMSSも提供できる |
提供メニューは契約内容やサービスメニューにより異なる 一定のカスタマイズ性を有するが、全てのサービス内容が業務要件に合致できるとは限らない |
|
サービス範囲 |
複数製品や複数環境を横断して取り扱う |
対応範囲は契約内容やサービスメニューにより異なる |
|
運用サポート |
セキュリティ運用、アラート全体の相談窓口になることができる |
個別要件が多い場合、導入や運用設計に時間や費用を要することがある 製品固有の詳細仕様はメーカーとの連携が必要な場合がある |
ここまで整理した通り、メーカー型MDRとMSSP型MDRは、提供主体や得意領域が異なります。どちらか一方が優れているというものではなく、自社のシステム環境や運用体制などによって、適したサービスモデルは変わります。
そのため、サービスを選定する際、単に「MDRサービスを利用するかどうか」ではなく、自社がどのようなシステム環境をどこまで外部に任せたいのか整理することが重要です。
|
|
メーカー型MDR |
MSSP型MDR |
|
適している企業 |
・特定メーカー製品を中心にシステムを構成している ・対象製品のログ検知、分析、対応を中心にアウトソースしたい ・セキュリティ対策を速やかに開始したい |
・複数製品、複数環境を統合監視したい ・ログ監視だけでなく、運用も含めてアウトソースしたい ・自社のシステム環境や業務特性に応じた運用設計を希望する |
追加の判断軸としては、以下の観点があります。
サービス選定において、現時点の要件だけでなく将来的な監視対象の拡張や運用体制の変化を見据えることも重要です。
現在は特定製品のみを利用している場合でも、将来的に新たな監視対象が加わる可能性があります。その際、契約中のサービスで新たな監視対象に対応できない場合、追加で別サービスを契約する必要が生じることがあります。
その結果、コストが増加するだけでなく、問い合わせ先や運用窓口が分かれ、インシデント発生時の情報集約や対応判断が複雑になる可能性があります。
そのため、サービス選定時には、現在の構成だけでなく、将来的なシステム構成の変化にも対応しやすいか確認しておくことが重要です。
サービス選定では、日々のセキュリティ運用を自社でどこまで担うのかも重要な判断軸です。MDRサービスはログ検知、分析や対応支援がサービスの核ですが、実際の運用は通知条件のチューニング、設定変更など平時から継続的に発生する業務も少なくありません。
これらの対応を自社で管理するのか、外部サービスにどこまでアウトソースするかによって、適したサービスは変わります。
ここまでMDRサービスの提供モデル、サービス選定の考え方について整理してきました。
NRIセキュアのMSSであるSecurePROtechtは、ITセキュリティのプロフェッショナルが、オンプレミス型やクラウド型のセキュリティ製品の設計・構築・運用・監視を支援します。
サービスによっては運用サポートが標準化・定型化されていることもありますが、SecurePROtechtでは、セキュリティ専門家がお客様ごとの環境や要件を踏まえて、運用内容を設計・提供します。
すべてのMSSに、NeoSOCサービス(MDRサービス)[v]を付帯することができ、24時間365日の体制で高度なMSSP型MDRを提供します。
お客様のシステム環境全体を理解したプロフェッショナルが、セキュリティ対策を導入から運用、検知、対応までワンストップで提供します。
SecurePROtecht、ひいてはNRIセキュアが最も重視しているのは、単にお客様のシステム環境の運用・監視を代行することにとどまらず、システム構成や業務特性を深く理解したうえで、お客様の価値を最大化するためにセキュリティ対策全体を支援することです。
NRIセキュアでは、MSSやMDRサービスだけでなく、セキュリティ戦略立案、常駐型の支援、セキュリティに関する調査や分析など、複数のセキュリティサービスを提供しています。
SecurePROtecht単体で完結するのではなく、必要に応じて社内の関連部門と連携しながら、お客様のセキュリティ課題に対応できる点も特徴です。
・お客様環境に応じたカスタマイズ性を有するMSSP型MDRの豊富な導入実績
・MSS、MDRサービス以外のセキュリティ対策支援も全社一丸となって提供可能
MSSは一様なものではなく、その提供モデルや考え方は多様化しています。メーカー型MDRとMSSP型MDRは、それぞれ異なる特徴を持っており、どちらかが一概に優れているというものではありません。
重要なのは、自社のシステム環境や運用体制に対して、どのモデルが適しているかを見極めることです。特定製品を中心に検知や対応を強化したいのか、複数製品やクラウド環境を含めて統合的に監視、運用したいのかによって、選択すべきサービスは変わります。
また、現在の要件だけでなく、将来的なシステム構成の変化やセキュリティ対策の拡張性も踏まえることが重要です。監視対象の追加や運用モデルの見直しが必要となった際に、柔軟に対応できるサービスであるかどうかも、選定時の判断材料となります。
MSSやMDRサービスを検討する際には、本ブログの内容を参考に、自社にとって最適なサービスモデルを整理、選定いただければ幸いです。
参考:
[i] https://www.nri-secure.co.jp/glossary/mssp
[ii] https://www.nri-secure.co.jp/glossary/soc
[iii]https://www.nri-secure.co.jp/glossary/edr
[iv]https://www.nri-secure.co.jp/glossary/xdr
[v]https://www.nri-secure.co.jp/service/mss