セキュリティを丸投げしたい！ と思ってしまったときに見るべき指南書：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

MSSから受ける「インシデント通知」を選ぶ

　利用者が理解しておくべきことがもう一つあります。それはMSSから来る「インシデントが発生しました」という通知の粒度です。MSSにはセキュリティ機器が発したアラートがそのまま届くサービスも専門のアナリストがアラートをかみ砕いてレポートするサービスもあり、それぞれで即時性や正確性、対応負荷が大きく異なります。

契約やSLAで確認しておくべき「インシデント通知」の定義

　例えばセキュリティ機器のアラートがそのまま上がるサービスであれば、利用者がセキュリティ機器のダッシュボードで確認するのとさほど変わりません。むしろ利用者が自分でドリルダウンして詳細を確認したい場合、MSSを介する方が時間の無駄になるかもしれません。

　一方で、アナリストの分析を含めたレポートを受け取れれば情報の正確性が上がり、対応負荷が下がるでしょう。ただし、アラート対応の即時性が犠牲になる可能性は上がります。どちらにもメリットとデメリットがあるため、利用者はこの特性を理解した上で利用するMSSを選定する必要があるでしょう。導入前の吟味はもちろん、導入後でも柔軟に変更できるような体制を整えましょう。

MSSの利用予定がなくても有効な「教科書」

　MSSは、現在の複雑化した脅威に対抗する貴重な光明といえるもの。現時点では利用者側の組織にある程度の規模が必要ですが、遠からず多くの企業がMSSとともにシステムを運用する時代になると思っています。その前段階として、いつでもMSSに依頼できるような準備をしておくと良いでしょう。

　このガイドラインにはMSSの選定ポイントだけでなく、保護対象とする資産や情報の定義を明示する必要性や、MSSへ開示するべき情報について記載されています。ポリシー作成や資産管理、ネットワークの現状把握などは、MSSを検討するか否かによらず、セキュリティ確保に必要なステップといえるでしょう。自社で対策するにしても、MSSに依頼するにしても、システムに携わる方や経営層の方々に、しっかりと参照してほしいドキュメントだと思っています。ぜひご活用ください。