MSSP が抱える 6 つの主な課題を Google Cloud SecOps で解決

※この投稿は米国時間 2022 年 7 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: このブログは Siemplify によって 2021 年 10 月 6 日に公開されたものです。

COVID-19（新型コロナウイルス感染症）パンデミックにより、多くの組織ではクラウドへの移行とデジタル トランスフォーメーションの取り組みのタイムラインが加速されました。また、このような組織では、新たに各地に分散した従業員が管理対象外のテクノロジーを使用しており、攻撃対象となる可能性のある領域が広がりました。

こうした変化により、一部の組織は成長を遂げましたが、多くのセキュリティ チームがすでに直面していた主な課題（大量のアラート、検出ツールの必要性、セキュリティ スキルの不足など）はさらに悪化しました。

2021 年 2 月の Siemplify レポートによると、76% の回答者が、COVID-19 パンデミックも SecOps 自動化を促進する一因となった、あるいは今後そうなる見込みだと回答しました。

マネージド セキュリティ サービス プロバイダ（MSSP）とマネージド検出 / 対応（MDR）ベンダーは、企業がこのような課題を克服できるよう支援しつつ、アジリティ、スケーリング、費用の節約を実現することで、大きな成功を収めています。またアウトソーシングにより、顧客の社内で当初不足していた知識が最終的に得られるので、まずプロバイダに支援を求めてギャップを埋めることが多くなっています。

これは MSSP 業界にとって期待できるニュースであり、今後も力強い成長が続くことは確実ですが、顧客の高まる期待を満たすのにあたって、MSSP の直面する課題がなくなるわけではありません。したがって、どのセキュリティ サービス プロバイダの状況も同じとは限りません。

競争の激しい市場において、（事実とは異なることもある）評判をはねのけて競合他社と一線を画すひとつの方法は、自社のセキュリティ運用を最適化し、顧客にとって最大限の成果を生み出すことです。これを達成するには、最近の MSSP が抱える 6 つの課題を克服する必要があります。

1）新規顧客の獲得にかかる費用の増加

セキュリティ テクノロジーの選択肢の急増に伴い、顧客のセキュリティ スタックはかつてないほど多様になっています。MSSP が競争力を高めるには、幅広い多数のテクノロジーを十分にサポートする前向きな姿勢とサポートできる能力が必要ですが、結果として顧客獲得の費用が増えることが多く、セキュリティ アナリストのトレーニング要件も増大します。

2）一元的な可視性の欠落

大規模な顧客ベースを管理およびモニタリングする MSSP アナリスト チームにとって、リソース割り当ての可視性が欠如して、生産性とリスクのバランスを取る MSSP の能力が制限されることがよくあります。このような可視性の欠如はしばしば顧客にも及びます。クライアントが求めているのは、拡大するネットワークの可視性が改善し、ネットワーク状況の透明性が向上すること、そしてサードパーティ プロバイダが脅威の通知以上の処理を実行できることです。顧客は、プロバイダから優れた成果が得られることを重視します。つまり攻撃者を検知して食い止め、可能な限り迅速に業務を復旧できるようにすることです。

3）複数のデリバリー モデル

MSSP デリバリー モデルはますます多様化しており、常時稼働状態のアウトソーシング SOC、管理された SIEM、MDR、スタッフ増強、および多数のハイブリッド モデルが含まれます。これらのモデルは収束し、1 つの MSSP がさまざまな構成で複数のモデルを提供することも可能ですが、これにより費用が増加し、運用が複雑化します。

4）SLA 項目の達成 

=a 多様なクライアントのさまざまなシステムとインターフェースを管理する MSSP アナリスト チームは、厳格な SLA を満たそうと懸命に努力する必要があります。

5）24 時間体制の運用

顧客の要望に対応するため MSSP は 24 時間体制で取り組むことになり、複数のシフトと引き継ぎが必要になります。複数のアナリスト間で一貫した対応を維持することが重要であり、スタッフの間で知識や能力に差があると、アナリストへのプレッシャーが増加します。プロセスとワークフローにおける一貫性を促し、アラートやインシデントに最適に対処することは、生産性とリスクのバランスを取るうえで特に重要です。

6）離職率

年中 24 時間運用体制を管理するうえで、人材不足や高い離職率はさらなる課題となります。また、人手による作業に依存し、専門知識を保つ必要性もあるため、プレッシャーはさらに高まります。

自動化とオーケストレーションの力

MSSP は、増大する顧客からの期待に既存のセキュリティ チームで対処しようとして、常に苦戦を強いられています。拡大し続けるデジタル フットプリント、検出機能への大規模な投資、モニタリング対象セキュリティ ツールの増加により、業界は転換点に差し掛かっています。

SIEM と SOAR は、集計アラートとセキュリティ侵害インジケーター（IOC）を取り込み、自動化可能なプロセス ドリブン型ハンドブックを実施し、エンリッチメントを行いこれらのインシデントに対応することで、プレッシャーにさらされている MSSP を支援します。これらのハンドブックにより、テクノロジー、セキュリティ チーム、外部ユーザーが互いに調整され、社内アナリストと社外の顧客の両方を対象とした一元的なデータ可視化とアクションが可能になります。

自動化された統合型 SecOps スイートがどのように役立つかについて詳しくは、chronicle.security をご覧ください。