マネージド・セキュリティ・サービス(MSS)は、あらゆる組織のサイバーセキュリティに深く関わるアプローチに不可欠な要素です。サイバーセキュリティの所有権は常にチーフ・インフォメーション・セキュリティ・オフィサー(CISO)にあるのですが、組織のデータと資産を保護するためには、組織内外の様々な関係者が協力し合う必要があります。
地政学的な武器としてのサイバーセキュリティの出現
サイバーセキュリティが地政学的な武器として出現したことで、攻撃的なサイバーセキュリティ技術への投資が継続的に行われています。悪意のある攻撃者が大規模なサイバーセキュリティ攻撃を仕掛けることが容易かつ安価になったのです。防御側では、CISOの組織は常に新たな脅威にキャッチアップすることが求められています。
脅威の増加により、スキルの高いサイバーセキュリティの専門家に対する需要が爆発的に高まっています。トレーニングされた人材の不足は、現在のCISOにとって主要な問題です。ISC2のレポートによると、「組織の重要な資産を効果的に守るためには、世界のサイバーセキュリティ人材が65%増加する必要がある」[ 情報源: ISC2-Cybersecurity-Workforce-Study-2021.ashx ]とされています。そこで、サイバーセキュリティ戦略を成功させるためには、マネージド・セキュリティ・サービス・パートナー(MSSP)の存在が不可欠となります。
サイバーセキュリティリソースの不足への対応
MSSP は、幅広いセキュリティ技術とプロセスにわたって活動できる、トレーニングを受けたサイバーセキュリティの専門家の大規模なプールを持つ専門家です。MSSP は、スキルセットの向上に継続的に投資し、サイバーセキュリティの専門家にキャリアパスを提供していますが、このようなサービスは CISO 組織が提供するのは難しいかもしれません。MSSP は、初期のスキルセットからより成熟したスキルセットまでの専門家をプールしているため、サイバーセキュリティのバリューチェーン全体でより費用対効果の高いソリューションを提供することもできます。
しかし、パートナーシップから確かな成果を得るためには、MSSPがお客様のサイバーセキュリティ・ビジョンを積極的にサポートし、その価値を高めるための方向性を持っていることが重要です。MSSPは、(特に)以下のような幅広いサービスを提供することができます。:
- マネージド・セキュリティ/コンプライアンス・モニタリング
- ペネトレーションテストと脆弱性評価
- 製品再販
- サイバーセキュリティ・コンサルティング
- [ 情報源: ウィキペディアマネージドセキュリティサービス- ウィキペディア ]
現在または将来のMSSPに聞くべき6つの重要な質問
1.透明性: MSSPのアナリストが持っているデータに、社内のチームはどの程度までアクセスできるのか?
社内のセキュリティ運用チームが直面する重要な課題の1つは、MSSPから送信されたアラートを分析できないことです。この問題は、MSSPがアラートを監視・分析するデータ(およびシステム)にアクセスできないことに起因しています。このデータ/システムへのアクセス不足により、社内アナリストは適切なアクションを迅速に行うのに苦労しています。また、上級経営者や社内の関係者からの質問にも答えることができません。
MSSPは、社内アナリストに適切なレベルのデータへのアクセスを提供する必要があります。
2. コラボレーション: シームレスなチームワークを実現するための社内アナリストとMSSPのエンゲージメントポイントは?
よく見られる問題の1つは、MSSPが他のサイバー防衛チームから離れたサイロで作業していることに関連しています。このため、あるチームが他のチームのワークフローを終了した後にフォローアップを行わないという、セキュリティ・プロセスにおけるギャップが生じる可能性があります。多くのセキュリティ侵害は、日常的なアラートが報告されても放置された結果です。
したがって、MSSPのアナリストとお客様の社内チームとの間に緊密な協力関係を築く必要があります。そうすることで、両チーム間のスムーズな引継ぎが可能になり、文脈に応じた知識の共有も可能になります。
3. 柔軟性: MSSPは、お客様のビジネス要件の増減に対応するために、どのようにストレッチしているのでしょうか?
時には、組織とMSSPの間の厳格なサービスの境界が、セキュリティの障害になることがあります。各当事者間の責任範囲を明確に定義することは重要ですが、新たに発生する状況にはいくら細かくても対応することはできません。例えば、外部環境での出来事により、アラートの数が突然急増するケースがあるかもしれません。あるいは、サプライチェーンの脆弱性が組織のより広い範囲の資産に影響を及ぼし、早急な対応を必要とするケースがあるかもしれません。
社内チームとMSSPのリソースを合わせて、緊急事態を乗り切り、防衛を維持する必要があります。パートナーシップの真の精神に基づき、多くの場合、両チームのどちらかが文書で定められた範囲やSLAを超えた作業を行う必要があります。もちろん、この場合、MSSPは、スコープ外またはSLAを超える作業に対して補償を受けることになりますが、これが長期にわたって継続されることになります。
4. 脅威マネジメント: 新たな脅威に積極的に対応するために、MSSPがセキュリティのどの分野の改善に貢献しましたか?
組織が直面するリスクの1つは、進化する脅威の状況です。セキュリティフレームワークのすべての構成要素は、出現する新しい脅威に対処するために更新する必要があります。予防や検知のルールのような要素も、標準的な運用手順と同様に更新する必要があります。CISO は、サイバーセキュリティ戦略のすべての部分を、新たな脅威に積極的に対応する必要があります。
このような状況では、MSSPは、より良い保護を実現するための変化を促進するアイデアのエンジンとなる必要があります。これには、現在のセットアップで埋めるべきギャップを特定したり、より良いカバーのための拡張を探したりすることが含まれます。
5. レバレッジ: MSSPは、サイバーセキュリティに対する広範な投資の価値を最大化するために、どのように役立っていますか?
深層防護のアプローチとして、組織はサイバーセキュリティのための様々なソリューションに投資しています。これにより、同じリスクに対して異なるレベルで対処することができ、全体的なリスクポストを削減することができます。しかし、多くの場合、MSSPは、組織が利用できるサイバーセキュリティ・ツールセット全体のうち、単一のレイヤーまたは薄いスライスにその任務を限定しています。このため、社内チームの負担は大きくなり、社内チームは全体的なリスク状況を把握するためのタスクを負わされることになります。
このため、MSSPは、セキュリティ・コンサルティング、セキュリティ・エンジニアリング、セキュリティ・オペレーションなど、幅広いスキルを備えている必要があります。これにより、MSSPは、お客様の投資の全範囲を活用することができるようになります。
6. 付加価値: MSSPは、どのような情報やレポートを共有することで、MSSPがお客様のビジネスに付加価値をもたらしていることを実証していますか?
サイバーセキュリティが経営者の目に留まるようになるにつれ、コストの高騰が懸念されるようになりましたが、これには、サイバーセキュリティツール、ソフトウェア、インフラ、社内チーム、MSSPの契約などのコストが含まれます。これには、サイバーセキュリティ・ツール、ソフトウェア、インフラ、社内チーム、MSSP の契約などのコストが含まれます。CISOは、サイバーセキュリティのコストをどのように最適化しているかを実証するよう求められることがよくあります。これには、経営者向けの報告書やベンチマークを作成することが必要です。多くの場合、MSSP から受け取るレポートは戦術的なもので、組織の上級管理者にとって興味深いものではありません。このため、より高いレベルの報告書の作成に手戻りが生じる可能性があります。
サイバーセキュリティのパートナーとして、MSSPは経営幹部と容易に共有でき、費用対効果を直感的に示すことができる定期的なレポートを提供する必要があります。
