セキュリティ人材不足の解決策|X-SOC MDRサービス

MDR(Managed Detection and Response)サービスとは?

MDR(Managed Detection and Response)サービスは、端末(PC・サーバー等)や通信経路上にあるセキュリティ機器・サービス(ファイアウォール、UTM、Proxy等)のログやパケットキャプチャを収集・分析し、セキュリティインシデントの検知(Detection)および対応(Response)を行うサービスです。

当社のX-SOC MDRサービスは、セキュリティインシデントの検知を担うSIEM(Security Information and Event Management)をサービス基盤として保有せず、EDR(Endpoint Detection and Response)製品やNDR(Network Detection and Response)製品などのセキュリティソリューションを活用するため、サービス基盤利用に関わる費用が不要で、セキュリティソリューションにMDRサービス(役務サービス)を付加してご提供します。
そのため、既にEDR製品やNDR製品等を導入し、お客様ご自身でセキュリティ運用されている場合においてもX-SOC MDRサービスをご利用いただくことが可能です。


MDRサービスはセキュリティ人材不足の解決策

セキュリティ対策製品やサービスは、「入れて終わり」にはできません。常に運用し続けることが求められます。
例えば、EDR製品がセキュリティインシデントを検知したタイミングは「今、不正アクセスされている状態」や「今、マルウェアに感染している状態」であるため即時対処が必要です。その一方で、結果的にサイバー攻撃ではなかった事象をセキュリティインシデントと誤判定してしまう(False Positive※1と言います)ことがあります。

当社のお客様の例では、数万台の端末(PCおよびサーバー)にEDR製品を導入されており、Severityが高いセキュリティアラート※2を1か月平均で2,000件程度受信します。全てのセキュリティアラートに対して事前にお客様と取り決めた時間内に対応をしますが、2,000件のうち真にセキュリティインシデントだったのは2件程度という結果でした。結果的に1件のセキュリティインシデントの裏に999件の対応不要な検知があったのですが、「いつものヤツだ」と放置する訳にはいきません。
セキュリティ対策製品やサービスを運用するIT担当様は、1分1秒を争う状況下で即時対応が求められますが、セキュリティ運用を行う人材が圧倒的に不足している現在において、人材の確保は容易ではありません。

X-SOC MDRサービスはセキュリティ運用のアウトソーシングサービスとして、IT担当様に代わってお客様のセキュリティリスクを24時間365日監視し、セキュリティインシデントであるか否かを判断した上で、真のセキュリティインシデントに即時対処します。深刻なセキュリティ人材不足の解決策として、X-SOC MDRサービスをご活用下さい。

※1False Positiveは、偽陽性(偽:False、陽性:Positive)のことで、本当は正常な事象を誤って異常であると判断してしまうこと。誤検知・過検知。
(反対語)False Negativeは、偽陰性(偽:False、陰性:Negative)のことで、本当は異常な事象を誤って正常であると判断してしまうこと。検知漏れ。
検知の精度を下げればFalse Negative(検知漏れ)が増え、検知の精度を上げればFalse Positive(誤検知・過検知)が増えるというトレードオフの関係にある。

※2Severityは、重大度・深刻度を意味する。Severityが高いセキュリティアラートとは、重大度・深刻度が高い警報で、危険性が高く緊急を要する。


他社のMDRサービスとはここが違う

多くのMDRサービスは、以下の図のようにCSIRT(Computer Security Incident Response Team)担当様の支援、CSIRTを設置していない企業であればIT担当様/情シス担当様の支援が一般的です。

<インシデント発生現場を仲介するCSIRTは負担が大きい>

拠点が1か所であれば1名~数名のご担当者様の支援で十分と考えて良いのですが、複数の拠点を管理されているご担当者様の場合は、セキュリティインシデントが発生した際の負担はとても大きなものになります。

セキュリティインシデントは昼夜を問わず発生し、複数台の端末が複数拠点で同時に被害に遭うことがあります。
そのため、CSIRT担当様(IT担当様/情シス担当様)はセキュリティインシデント全体の状況把握に努め、経営者への報連相や次の一手の検討に注力すべきだと考えます。
X-SOC MDRサービスはインシデント発生現場を直接支援し、CSIRT担当様へは状況が変わる都度ご報告することで、CSIRT担当様の負担を軽減します。

<X-SOC MDRサービスはCSIRTに代わってインシデント発生現場を直接支援>

・  インシデント対応プロセスのカスタマイズが可能

X-SOC MDRサービスは、お客様の要望に合わせてインシデント対応プロセスや判断基準をカスタマイズできる部分があります。

インシデント対応方針は、お客様のご事情で2つに分けることができます。
1つは、「検知したら、即ネットワーク隔離、即対処」という考え方です。
この考え方は、被害を最小化するという意味で最も良い対応方針ですが、反面、ネットワーク隔離した端末は即時に業務影響が出ます。ファイルサーバや業務サーバなどをネットワーク隔離した場合は多くの利用者に影響しますし、調査・分析をした結果False Positiveだったということもあり、結果的にネットワーク隔離をしなくても良かった事象でも業務影響が出てしまうことがあります。
もう1つは、「検知したら、まず調査、セキュリティインシデントであればネットワーク隔離して対処」という考え方で、業務影響を最小限に抑えたいお客様が選択されます。

<お客様の要望に合わせてインシデント対応プロセスをカスタマイズ>

また、両方の考え方の中間で、重要な端末はまず調査、それ以外はまずネットワーク隔離という運用にも対応します。この場合は予め「重要ホスト一覧」をお客様より受領し、「重要ホスト=即時ネットワーク隔離したくないホストの一覧」にあるかないかで対応を変えます。


・  Severityによって連絡先、連絡方法を変えられる

セキュリティインシデントには、その重大度・深刻度によってSeverityを付与します。
Severityはセキュリティ対策製品やサービスのベンダーによって表現が異なりますが、Severityが高い順に、「(例)Emergency → Critical → High → Medium → Low」など4~6段階で表現され、Severityが高いほどセキュリティインシデントが重大・深刻であることを示します。
高いSeverityが付与されるセキュリティインシデントは、業務の停止や顧客への賠償、監督官庁への報告など企業活動に影響を及ぼすことがあり、経営陣はより早く情報を掴み、適切な対処を指示する必要があります。

X-SOC MDRサービスでは、例えば「Severity=Emergencyの場合は、IT部門のメーリングリストにインシデント発生連絡を送付後、CSOの携帯電話に電話する」、「Severity=Critical, HighはIT部門のメーリングリストにインシデント発生連絡を送付後、IT担当の携帯電話に電話する」などに対応できます。


X-SOC MDRサービスは、お客様のセキュリティリスクを

X-SOC MDRサービスの特徴

検知(Detect)、対応(Respond)の2つのコアに対応したサービスです。

img


「必要なところだけを任せたい」に対応します。(検知サービス、対応サービスの両方または選択してご利用いただけます)

img

いいところ取りの課金体系で小規模から大規模まで対応

・ セキュリティベンダーのMDRサービスがカバーしていない小規模(数十ID~数百ID前半)のお客様に有利な『ID数課金』

・ 中規模(数百ID後半~数千ID)から大規模(数万ID)のお客様に有利な『対応件数課金』

img

・ 現在選択できるサービスプラットフォームは以下の通りです。(2022年5月31日現在)

サービス名 プラットフォーム
X-SOC for CrowdStrikeCrowdStrike
X-SOC for CybereasonCybereason
X-SOC for WithSecureWithSecure
X-SOC for CheckPoint HarmonyCheckPoint

・ 対応予定のサービスプラットフォームは以下の通りです。

サービス名 プラットフォーム
X-SOC for ZscalerZscaler

・ お客様の専用プラットフォームを当社オペレーションセンターのオペレーターが代行して操作します。

・ 急なご依頼でも24時間365日で対応可能です。

・ セキュリティプラットフォームを活用したサービスのため、安価な価格設定です。

・ オプションサービスに関しては、1年間有効(翌年持ち越し不可)のチケットを利用分だけ事前購入いただき、必要な時に利用いただけますので無駄がありません。なお、使い切らなかったチケットは当社の別のサービス(サイバーセキュリティトレーニング)等に転用いただくことができます。