「マネージドセキュリティサービス」最新事情：IT導入完全ガイド（5/5 ページ）

MSSをめぐる最新事情

　どれだけセキュリティ対策を施したとしても、セキュリティ事故は起こり得るという認識が企業間で広まりつつある。そこで最近では、事前の予防よりもインシデント発生の早期発見、早期解決に主眼が移ってきている。

　その際には、前述の通りMSSと合わせて、同じベンダーによる脅威分析サービスや緊急対応サービス、セキュリティコンサルティングサービスなどをいかに組み合わせるかが鍵を握るようになっている。また、大企業を中心にプライベートSOCを設置する企業も増えつつあるが、そこで必要となるシステムやSOCの運用ノウハウ、スタッフの教育などを合わせて支援を行っているベンダーもある。

図4 MSS提供ベンダーによる情報漏えいチェックサービスでの解析結果報告書の例（出典：ラック）

MSSの選び方

コンサルティング力とコンサルティングサービス内容

　MSS自体はセキュリティ機器の外部監視サービスだが、セキュリティインシデントが発した際に何も対応できなかったのでは企業にとってリスクが大きい。そのため、MSSと同じベンダーが、フォレンジック調査から改善策まで、どこまでコンサルティングサービスを提供できるかを十分に把握しておきたい。

日本にもSOCが設置されているか

　海外にSOCがある場合、重要インシデント発生時の通知が英語で行われるケースもあり、その場合には意思疎通がうまくいかず、結果として重要な事故につながることも考えられる。また問い合わせを受け付ける窓口は日本国内にあったとしても、現場のSOCとの間にワンクッション置かれるために対応が遅れてしまう可能性もある。そのため日本にもSOCを設置しているかどうかを確認したい。

　ただし、グローバル展開している企業の場合、日本のみにSOCがあるのではなく、グローバルにSOCを有していることも重要になる。

マルチデバイス、マルチベンダーに対応しているか

　セキュリティ機器メーカーにひも付いたMSSの場合、そのベンダーの機器以外には対応していないサービスもある。これでは、将来セキュリティ機器を別のメーカー製に変えようとなった際に大きな支障がでてきてしまう。また、メーカーが提供するシグネチャには漏れも多いため、独自にシグネチャを作成し、メーカー提供のものと合わせてより強固な検知率を実現しているベンダーもある。

エンジニアとの信頼関係は築けるか

　自社のセキュリティ機器の継続的な監視を委託するMSSでは、ベンダーとの接点となる営業担当者だけでなく、その先にいるエンジニアとの信頼関係も非常に重要だ。数年にわたるかもしれない運用パートナーとして、SOCのセキュリティエンジニア、そしてサービス事業者そのものを信頼できるかどうかを、過去の実績やベンダーの組織力、エンジニアの育成体制などから確認するべきだろう。

問い合わせの回数や連絡方法に制限がないか

　サービスによっては問い合わせの回数に制限がある場合や、問い合わせの受け付けをWebポータル経由でしか行っていないものもある。ただ、このようなサービスは概して廉価であることが多いので、自社がどこまでのサービスを必要としているのかしっかりと考慮したうえで、コストとの兼ね合いから最適なサービスを選ぶようにしたい。

コラム：システム開発の委託先は候補から外すのも1つの手？

　日本の企業ITの世界では、システム開発の委託先にハードウェアの調達から運用管理のアウトソースまで全てを任せてしまうことも珍しくない。しかしMSSでは好ましい選択とはいえないだろう。

　なぜならば、システム開発の委託先はメンテナンスやシステム更新も請け負っているため、もし怪しいセキュリティインシデントが発生した場合も、開発したシステムの脆弱（ぜいじゃく）性や次の契約更新を心配して情報を的確に伝えない恐れがあるからだ。このように、セキュリティの機能が第三者視点からの外部監査にならず、なあなあの関係に陥ってしまうようなことは避けるべきだ。