セキュリティ専門企業によるインシデント検知サービス

MSSとは「Managed Security Service」の頭文字をとった略称であり、「セキュリティ監視・運用支援」などと訳される。すなわち、セキュリティ対策の管理・運用を請け負うサービスを意味している。MSSにおいては、クライアント企業のゲートウェイなどに設置したセキュリティ機器のログをMSS提供企業の従業員が常時監視し、ウイルス感染や不正アクセスなどが疑われるログを検出。その危険度に応じたアラートが企業に通知されることで、状況に応じた対策が講じられる。一般的に、MSSを提供するセキュリティ事業者はMSSP（Managed Security Service Provider）と呼ばれる。

高度化するサイバー攻撃への対処に求められる専門性

MSSの市場規模は年々拡大しており、その背景にあるのが、サイバー攻撃の巧妙化・高度化に加え、セキュリティ機器の運用負荷の増大、そして企業内のセキュリティ専門人材の不足である。凶悪化するサイバー攻撃に対して、さまざまなセキュリティ機器を適切に運用しながら対処していくには、セキュリティ専門人材の配置はもはや避けられない。特に最近では、ゲートウェイや社内ネットワーク、エンドポイントといった複数箇所で対策を講じる多層防御の考えが主流となっており、それぞれで記録されるログは膨大な量に及ぶ。しかし、近年の巧妙化するマルウェアの動向を適切にキャッチアップし、ログを分析することで攻撃の兆候をつかむためには、高い専門性が要求される。また、それらのログを分析して兆候を検出するだけでなく、インシデント発生時の迅速な対応のため、企業内における部門横断的な連携を取り持つ役割も担う必要性がある。

現実的な選択肢としてのMSS

最近では大手企業を中心に、分析を行うためのSOC（Security Operation Center）やインシデント発生時に主体的な対応を行うCSIRT（Computer Security Incident Response Team）を設置するケースも増加傾向にあるものの、多くの中小企業においては予算的にもリソース的にも導入するためのハードルは高い。そこで、社内に設置したセキュリティ機器の管理やログの分析だけでもアウトソースしたいというニーズが増えているのだ。

一般的なMSSでは、クライアント企業からログの提供を受け、MSSP内のSOCにて分析を行う。MSSP側でサイバー攻撃を受けたことが推測される異常なログを検知した場合、速やかにクライアント企業にアラートを通知する。その通知には、インシデントに対してどのような対策を講じるべきかが具体的に記載されており、クライアント企業はその指示に従って対策を進めることになる。

インシデント発生後の対応まで請け負うフルマネージドサービス

提供元の企業によってMSSのサービス概要やその適用範囲は異なってくる。サービスによっては、インシデントの発生が実際に疑われる場合にアラートの通知だけでなく、その後の対処まで請け負うものも存在する。このようなサービスは「フルマネージドサービス」と呼ばれ、セキュリティ対策全般をアウトソースできるものの、その分コストも高くなりがちだ。自社の置かれた状況、そして投下できる予算、さらには将来を見据えた判断をもとに、適切なサービスを選択することが求められる。