マネージドセキュリティサービス（MSS）の基本　―メリットと選定のポイント―

マネージドセキュリティサービス(MSS)とは何か？

マネージドセキュリティサービス(MSS)は、情報システムのセキュリティを維持するため、運用・管理をセキュリティの専門家にアウトソーシングするサービスです。マネージドセキュリティサービスを提供するベンダーには、セキュリティのほかシステムやネットワークの維持・保守・監視なども提供する「サービマネージドサービスプロバイダー（MSP）」や、セキュリティに特化した「マネージドセキュリティサービスプロバイダー(MSSP)」があります。

MSSによりアルタイムの脅威検知やその他のセキュリティ対策が実施されることで、企業はシステムの中断やダウンタイムを心配することなく、自社のコアビジネスに集中できます。

マネージドセキュリティサービス(MSS)の浸透

こうしたMSSがいま世界的に浸透しつつあります。グローバル調査では、38%の企業がIT関連ニーズの半分以上をMSSで管理しており、前年比50%増と伸長しています^※1。

このように、セキュリティ強化の選択肢として浸透するMSSに対して、2021年には米サイバーセキュリティ社会基盤安全保障庁（CISA：Cybersecurity and Infrastructure Security Agency）から、また2023年1月には、英国国家サイバーセキュリティセンター(NCSC: National Cyber Security Centre)から、利用ガイダンスが公開され、注意点や確認事項が示されています^※2。

以下では、MSSのメリットおよびパートナーを選定するために検討すべきポイントについて、CISAのガイダンスをもとにご説明します。
※1 NTT 2021 Global Managed Services Report
※2 CISA Risk Considerations for Managed Service Provider Customers、NCSC National Cyber Security Centre Using MSPs to administer your cloud services

マネージドセキュリティサービス(MSS)のメリット

運用負荷の軽減・効率化

ランサムウェアなどのサイバー攻撃の脅威が深刻化するなか、多くの企業で、セキュリティ部門の慢性的な人員不足が課題になっています。自社に十分な人員によるセキュリティオペレーションセンター（SOC）を備えた企業でも、XDRの運用に苦慮し、セキュリティ機能が自社に最適化されていない場合があります。さらに数多く発生するアラートの分析・対応も、セキュリティ部門の貴重な時間を奪う原因となっています。

そうした中で、セキュリティに関する豊富な経験や資格、また新しいテクノロジーに関する知識を備えたサービスを利用することは、セキュリティ担当者の支援や負担軽減に役立ちます。またMSP・MSSPには、IT専門家の知見を提供する体制が整備されており、脅威の迅速な検出・対応・復旧に際して、業界のベストプラクティスを活用することが可能です。

継続的なコンプライアンス順守

企業の多くは、監査や報告書を通じて、自社のビジネスプロセスやセキュリティ管理が、特定の規制で定められた基準を満たしていることを証明しなければなりません。また、セキュリティ侵害が発生した場合、影響を受ける個人にも通知しなければならず、ビジネスを展開する国や地域の法令によっては厳しい罰金などの罰則が課される場合もあります。

このように複雑で厳格な地域特有の規制がある中で、継続的にコンプライアンスを順守することは新たな課題となっています。さらに、コンプライアンスはビジネスの重要課題と認識されていないケースも多く、プロセスの混乱やリスクの増大につながる可能性があります。

MSP・MSSPの中には、コンプライアンス順守を証明するために必要となる関連データの収集、システムやプロセスの監視、内部および外部への報告などを遂行できる専門的な人材を整備しているベンダーもあります。また、ほとんどのコンプライアンス順守で要求されるソフトウェアの修正パッチ適用やレガシー機器の交換などをサポートするサービスもあります。

アタックサーフェスマネジメント

業務のクラウドへの移行に伴い、攻撃対象領域（アタックサーフェス）が急速に拡大し、新たなサイバーリスクが増加しています。拡大する攻撃対象領域を管理し、サイバーリスクを最小限に抑えるためには、知識と経験に長けたセキュリティ専門人材が必要です。MSP・MSSPは、社内セキュリティ部門で発生するセキュリティトレーニング関連の時間や費用の負担を抑え、アタックサーフェス全体のリスクに対処できる専門知識を提供します。

また、インシデントレスポンスサービスを提供しているMSP・MSSPであれば、バックアップと災害時の復旧計画に関する定期的なテストを実施することで、攻撃された場合に最も効果的なプロセス、手順、ポリシーの適用を確認することも可能です。そして契約で合意した場合には、フィッシングやサイバーハイジーンの不備など、ユーザ特有の感染経路に対処するセキュリティトレーニングの継続的な提供も可能です。

MSP・MSSP選定のポイント

予算や既存リソース、セキュリティのニーズを評価し、現状の課題と将来の目標を正しく理解することで、自社にとって適切なパートナー選定を行うことができます。

CISAのレポ―ト「Risk Considerations for Managed Service Providers」では、MSP選択の際のフレームワークが示されています。フレームワークを構成する3つの要素から、選定のポイントを紹介します。

戦略的な意思決定

CISOやセキュリティ部門のリーダーは、MSPを検討する際、コストと効果のバランスを取る必要があります。社内チームとMSPの具体的なセキュリティ上の役割と責任範囲を定め、ワークフローを混乱させることなく最大限の効率性を確保することが重要です。

次に、既存のセキュリティの技術的なスタックおよび自社の組織能力を評価することです。これは「どのようなセキュリティギャップやリスクを管理する必要があるか」という観点からの評価となります。
MSSの検知と対応を強化したい場合には、「XDR機能を備えた統合サイバーセキュリティプラットフォームを導入しているか」、「サイロ化したエンドポイント製品をまだ使用しているか」、「自社の既存のエコシステムにMSPの技術を統合できるのか」といった観点も重要な判断基準となります。

最後に、このプロセスで明らかになったギャップやリスクは、サービスを利用するかどうかにかかわらず、セキュリティ体制の向上のためにも十分な対処が必要となります。このような調整作業も負担が伴うものですが、最終的には、セキュリティ対策の予算を計上し、MSPによるサポートによって回避できる「不要なコスト」を明確化する上で有効な手続きといえます。そして費用の見積もりに際して、新しいテクノロジーを導入するための初期費用と継続的な運用・管理費用の双方を考慮しておく必要があります。また、コストと効率面に加えて、ビジネスの中核を支えるシステムのセキュリティを委託するのに適切なパートナーであるか、企業としての評価も重要です。

運用上の意思決定

一貫性のないセキュリティの調達や運用は、コストを増大させ、サプライチェーンにおけるセキュリティリスクを高めます。このような事態を避けるためには、サービス選定に際して、契約書の要件を明確化して記載し、締結前に以下の事項についてサービス内容を十分に確認することが必要です。

・パフォーマンス関連のサービスレベル契約
・インシデント管理に関する詳細ガイドライン
・ソフトウェア部品表（SBOM）
・ログや記録の維持管理(システムへの直接アクセス以外も含む)
・IPの窃取、操作、業務妨害のリスク最小化に際しての従業員への審査徹底に関する文書
・円滑な統合を支援するための移行計画
・社内データを他の外部に公開する可能性のある下請け業者や独立したコンサルタントの事前通知
・計画的なネットワーク停止の運用ルール
・MSP側における財務の健全性、他のクライアントに対する実績、過去の法的問題開示に関する文書

戦術的な意思決定

セキュリティ侵害などのリスクを最小化するためには、組織内のセキュリティ対策を、MSPのネットワークにも適用する必要があります。これには、必要なリソースにのみアクセスを提供するゼロトラストの活用といったアクセスコントロールの項目も含まれます。
MSPが独自のツールやソリューション導入する場合は、サプライチェーンのセキュリティ管理、およびフルマネージドシステムの適切な監視とログ取得を実施してください。
さらに、MSPの活動やネットワーク接続を監視してログ取得が可能な強固なリスク評価手順の確立も必要です。その上で、リスクの閾値を指示するポリシーを導入することにより、接続の自動終了、潜在的な攻撃範囲の最小化といった仕組みの導入も可能となります。

日々進化する高度な脅威が企業を狙う今日、効果的かつ効率的なサイバーセキュリティは、ビジネスの成功に不可欠です。MSSを最大限に活用するには、自社の脆弱箇所およびセキュリティスタックの現状評価が必要です。サイバーリスクの現状評価については、Microsoft 365などメールボックス内のリスクをチェックできる「Trend Micro Security Assessment Service」、クラウド環境のリスクをチェックできる「Public Cloud Risk Assessment」（英語）をご活用ください。

本記事は2023年1月にUSで公開された記事の抄訳です。
翻訳：Core Technology Marketing, Trend Micro™ Research