パートナー

MSSPとMDR:もはや二者択一ではなくなった

投稿者 Jonathan Nguyen-Duy | 2022年3月28日

リモートワークの普及は、MSSP(マネージドセキュリティサービスプロバイダー)に新たな機会をもたらしました。組織は今や、拡大を続けるテレワーク環境全体にわたってセキュリティを管理するために、これまで以上にセキュリティプロバイダーに依存しています。しかしこの機会を活かすためには、MSSPはサイバーセキュリティ専用のツールとリソースを必要とします。

MDRとMSSPのセキュリティサービス:その違い

サイバーセキュリティの分野でMDR(Managed Detection and Response)とは、組織が自ら直面しているリスクの理解を深めて、このような脅威を特定して対処する方法を改善することを支援するサービスのことです。しかしながら、すべてのサービスプロバイダーがこれらの能力を提供する準備ができているわけではありません。違いは、提供されるサービスのレベルにあります。MSSPが通常提供しているのは、お客様の注意を喚起して、セキュリティ態勢とセキュリティコンプライアンスを強化するために必要な監視 / 管理サービスです。MDRサービスはさらに一歩進んで、検知とインシデントレスポンスのためのスタッフを増強します。

MDRプロバイダーが提供するサービスは、主に脅威検知 / レスポンスを中核に位置付けて構築されています。脅威検知時間が短縮されることで、組織はセキュリティインシデントにリアルタイムで対処可能になり、阻止できなかった攻撃による被害を抑えることができます。お客様が追加の支援を必要としている場合は、MDRプロバイダーは、オンプレミスチームを配備することで脅威の修復を支援できます。対照的に、MSSPは、従来よりセキュリティ監視と資産管理を優先してきました。MDRと比べると、MSSPは、セキュリティ資産の配備 / 管理 / 監視を重視しています(ファイアウォールのネットワークアクセス制御など)。

MDRサービスの提供は、お客様のセキュリティ要求事項に応えるためのMSSPの能力において重要な役割を果たします。この傾向は、Gartner®社による調査で明確に示されました。この調査によると、2024年までに、セキュリティのアウトソーシングを検討している組織の90%以上は、検知 / レスポンスサービスに重点を置く予定であることが明らかになりました。MDRプロバイダーが注目されている理由は、MDRプロバイダーは、リモートビジネス環境全体にわたって包括的なレスポンス能力を提供できるからです。したがって、MSSPが競争力を維持するためには、MDRテクノロジーを自社の提供サービスに取り入れる必要があります。

MDRサービスによって対処できる課題

MDRサービスを活用することで、組織は以下の課題を解決できます。

  • エンドポイントをマルウェアから保護する:多くの場合、マルウェアはコマンドアンドコントロール(C&Cサーバー)との通信を隠します。これらの通信を通じて、データが盗み取られて、さらに多くのマルウェアが脆弱なマシンにダウンロードされます。しかしMDRを導入することで、組織はこれらの通信を傍受できます。さらに、MDRサービスには、特定のエンドポイントをマルウェア攻撃から保護するためのエンドポイント保護プラットフォーム(EPP)を含めることができます。
  • 脅威のラテラルムーブメントを阻止する:ラテラルムーブメントは、攻撃者が単一ネットワーク内の一連のマシンを侵害するための主な手段です。MDRサービスはこれらのラテラルムーブメントを検知することで、セキュリティチームが対処できるようにします。
  • 内部のセキュリティ違反を防止する:組織の従業員は、過失なのか意図的なのかを問わず、内部のセキュリティポリシーに違反する可能性があります。これらの状況が発生した場合は、起こった事象と原因を調査してから、そのインシデントを組織のセキュリティチームに報告することをMDRが支援できます。

MDRサービスの提供:MSSPが直面する課題

MSSPは、自社の提供サービスを増やしてMDRソリューションを取り入れようとするときにいくつかの課題に直面します。以下では、これらの課題を説明します。

異種ツールの混在

MDRプロバイダーは、脅威検知と減災機能をお客様に提供するために複数のセキュリティベンダーに依存しています。しかし、一元的なセキュリティプラットフォームがないと、脅威を適切に管理するために必要な可視性と統合性を得るのが難しい場合があります。このためMSSPは、脅威検知 / レスポンスサービスを提供するために必要なツールの組み合わせを提供する複数のベンダーと協力する必要があります。フォーティネットは、テレメトリを通じて統合された複数のテクノロジーソリューションを提供することでこの課題に対処しようとしています。これらのソリューションは連携して、脅威インテリジェンスを共有してネイティブ自動化をサポートします。この結果として、統合型脅威管理システムがMSSPに提供されることで、複数ベンダーの利用に伴うサイロ構造(横のつながりのない縦割り状態)が解消されます。

有効なMDRプログラムの主要素は、統合型セキュリティソリューションにアクセスできることです。このため、MDRプロバイダーは、異種テクノロジーを連携させるためのミドルウェアを作成する必要に迫られました。カスタムプレイブックによる自動化を取り入れたソリューションを利用することで、MDRプロバイダーは自社の検知 / 修復活動を統制して、インシデントレスポンス時間を短縮できます。一元化されていないツールを活用しているMSSPにとっては、誤検知と活動中の脅威を見分けることが難しい場合があり、その結果としてセキュリティギャップが生じます。エンドポイントデバイスとクラウドソリューションの追加によってネットワークが複雑化する中で、統合型セキュリティサービスにアクセスできることは、MDRソリューションを成功させるために不可欠です。フォーティネット セキュリティ ファブリックの役割は、この課題への対処を支援することです。そのために、連携して脅威検知 / レスポンスを迅速化する一連の統合型セキュリティツールをMSSPに提供しています。統合型ソリューションを活用することで、サービスプロバイダーはケース管理を一元化して、包括的なMDRソリューション一式をお客様に提供できます。

MDRサービスプロバイダーとの競合

脅威検知 / レスポンスに対する需要が高まるにつれて、従来のMSSPは、MSSPが追求してきた同じ顧客ベースを巡って競合しているMDRプロバイダーによって脅かされています。このため、必要なツールと検知 / レスポンスサービスにアクセスできないMSSPにとって、実績のあるMDRプロバイダーとの競合が困難となる可能性があります。したがってMSSPは、商機を生み出すためには自社のMDR能力を差別化できる必要があります。フォーティネットがFortiSIEMと完全に統合されたEDRSOARのサービスを提供するためにEnSilo社とCybersponse社を買収したことで、サービスプロバイダーは単一のベンダーを通じて包括的なMDRソリューションを構築できるようになりました。このレベルの統合は現在の市場では他に例がないため、MSSPは他社より抜きん出て、新たな見込み顧客を引き寄せることができます。

SOCスキルの不足とトレーニング機会の欠如

SOCチームの有効性は、顧客ネットワーク上でセキュリティを管理するためのMSSPの能力において重要な役割を果たします。現在は、SOC人材の深刻な不足が生じています。この結果として、多くのMSSPはスタッフを社内でトレーニングしており、このことにはいくつかの特有の課題が伴います。SOCのトレーニングでは、複数テクノロジーの活用方法を習得する必要がありますが、そのためには多大な時間を要する可能性があるだけでなく、多額の投資も必要になります。そしてSOCアナリストのトレーニングが完了したとしても、新たに習得されたスキルは需要が高いため、MSSPはそれらのアナリストが別の組織に移ってしまうというリスクにさらされます。フォーティネットは、MSSPがこの課題に対処することを支援するためにSOCライフサイクル戦略を開発しました。ライフサイクル戦略は4つのステージからなり、各ステージでは、MDRサービスをお客様に提供するための必須インフラストラクチャを構築するために必要なリソースとガイダンスがMSSPに提供されます。

MSSPはMDRサービスを提供するために尽力する必要がある

組織は、脅威検知 / レスポンスサービスにますます重点を置いています。統合されたMDR能力を持つMSSPは、継続的なセキュリティを保証するソリューションをお客様に提供することで、この新興市場で活躍できます。そしてフォーティネットとともに、MSSPは自社の提供サービスを増やして、単一ベンダーを通じて包括的なMDRソリューションをお客様に提供できます。

FortiEDRによって検知されたアラートや不審な脅威を監視するMDRサービスの詳細については、こちらをご覧ください。

パートナーの皆さまは、パートナーポータルにて、フォーティネットとパートナープログラムに関する重要なアップデートをご確認いただけます。