マネージド・セキュリティ・サービス・プロバイダ (MSSP) を選択する理由は数多くありますが、主な理由の1つは、サイバーセキュリティのスキル不足を克服することです。サイバーセキュリティの分野で適切な人材を見つけ、一度トレーニングを受けた熟練した専門家を維持することは非常に困難です。
MSSPへのアウトソーシングを検討する際、特筆すべき課題は他にもある。ひとつは、サービスの説明が非常に複雑で理解しにくいことだ。例えば、サービス・レベル・アグリーメント(SLA)は、何が含まれていて何が含まれていないかなど、比較するのが難しい場合がある。顧客はMSSPとの関係において、何を必要とし、何を要求し、何を求めているかという点で、しばしば限界がある。顧客は、MSSPが提供するものと、自社が提供する必要のあるリソースについて、明確に理解する必要があります。
したがって、それを理解することは非常に重要である:
- 何を守りたいですか?重要な資産がどこにあるか知っていますか?
- MSSPからのインシデントに適切に対応する責任は誰にあるのか?社内のプロセスは、MSSPとうまくやり取りできるように調整され、人員配置されていますか?
- インシデントレスポンス サービスを購入する場合、このサービスにどのような権利や制限が含まれるかに同意していますか?例えば、MSSPはCEOのノートパソコンを隔離したり、ファイアウォールのポートをブロックしたりできますか?ビジネスへの影響は?特にランサムウェアでは、攻撃の早期発見と軽減が重要です。
- 多くの分野でユースケースについての議論が行われているが、これは特にマネージド・サービスを調達する際に多くの良い目的を果たす。
- 合意された主要業績評価指標は何か、また、それらはどのように測定されるのか。KPIの意味を十分に理解しているか?
MSSPによる脅威検知サービスは通常どのようなものだろうか?理想的な MSSP サービスは、ガートナーによって紹介されたSOC Visibility Triad モデルに基づいて構築されるべきである。このトライアドは、ネットワーク検知とレスポンス (NDR)、エンドポイント検知とレスポンス (EDR)、そして一般的にセキュリティイベント情報管理 (SIEM) を介して処理されるイベント・ログを組み合わせたものです。このモデルを使用することで、MSSP は関連付けを行い、レポート・ポータルでインシデント通知を提供することができます。
調達可能なMSSPサービスは他にもあるが、ガートナー、IDC、フォレスターなど複数の調査会社によると、脅威検知サービスの急増が投資の大半を占めると推定されている。
組織とMSSPの間の力学と責任を予想するには、いくつかのシナリオを考慮することをお勧めします:
1.独自のSIEMソリューションを構築する
- 組織の価値を実現するまでの期間が長く、通常は12カ月以上かかる。
- サイバーセキュリティの人材を見つけ、組織に引き付け、維持することが難しい。
- どのログソースから始める?セキュリティには何が良いのか?
- 24時間365日のカバー体制を確立するには?
2.サービスとしてのSIEMとMSSPの関係の良し悪し
- 自分で構築するよりも価値を実現するのが早く、少なくとも6カ月から12カ月で稼働させることができる。
- 関係が適切に管理されないと、価値は時間とともに減少する。
- MSSPは、どのログソースが脅威検知に適しているかについて、ある程度の考えを持っている。しかし、脅威検知のためのログ分析は、分析するログと同じ程度にしかなりません。
- 年中無休でサービスを提供できる。
3.サービスとしてのVectra と良好なマネージドMSSP関係
- サービスとしてのSIEMでは6~12カ月かかるところを、1カ月以内に顧客に価値を提供する。
- 相互に合意された運営計画やスケジュールがあれば、時間の経過とともに価値は高まる。
- 年中無休でサービスを提供できる。
- 脅威の検知を強化するため、EDRとSIEMをサービスとして提供する。
- SIEM、EDR、ファイアウォール、SOARシステムなどの既存の投資と統合。全体的な価値を高め、加速します。
最後に、どの分野から始めるにせよ、常にプロジェクト・マネージャーを任命し、導入を監督することを検討すること。また、MSSPとの月1回のオペレーション・ミーティングと四半期ごとのビジネス・レビューを必ず実施すること。こうすることで、生産的な協力関係を構築する方法を戦略的に考えることができ、サービスやその全体的な価値の新たな改善点を見出すことができる。