「何も起きていないこと」を説明できる意義
提供されるサービスでは、「ログの収集、分析」「脅威の報告(アラート通知)」のほかに、有事の際の初動対処を支援するサービスや、DDIの管理を担うサービスが提供されることもある。ユーザー組織による日々のセキュリティ運用を包括的に支援する組織として機能するわけだ。
また、平常時では定型のレポートが定期的に提供するサービスが多い。田中氏によれば、このレポートもユーザーにとって有益であるという。というのも、この種のレポートは「(ユーザー組織のネットワークで)何が起きているか」を示すエキスパートの報告書であり、それを通じて、「何も起きていないこと」を説明できるようになるからだ。
「標的型サイバー攻撃のように“見つけにくい脅威”が猛威を振るう今日では、セキュリティ担当者が、組織内ネットワークにおいて“どのような攻撃が起きているのか、もしくは、攻撃や進入は起きていないのか”を把握することが困難になっています。状況を適切に把握できていなければ、経営陣から“ウチは大丈夫か”と問われた際に明確な答えを出すこともできません。レポートは、自組織の現状を把握するために、非常に有用な情報となりえるのです」(田中氏)
レポートを通じて、自組織の状況を把握することで、さらなる対策の強化や改善に繋げていくことも可能だ。このように、有事の際に限らず平常時にも、監視/運用支援サービスを活用することができる。
セキュリティ対応の最適化を図る
以上のように、監視/運用支援サービスは、標的型サイバー攻撃に対する組織のディフェンス力を高めるうえで非常に有効な手段と言える。とりわけ、セキュリティ対策に潤沢な人的リソースを振り向けることができない組織にとっては、サービスを活用した運用支援と脅威検知の能力は標的サイバー攻撃対策を強化するうえで欠かせないピースとなるはずである。
もっとも、外部のサービスにどこまでの範囲の監視や運用を担わせるかは、ユーザー組織の状況やネットワーク構成によって異なる。そのため、ユーザー組織の「現状分析(As-Is)」と「あるべき姿(To-Be)」のギャップを明らかにしたうえで、サービスを活用するべき領域を定義し、必要な機能を実装、実運用を始動させて適宜改善を図っていくといった一連のプロセスが踏まれることになる。
監視/運用支援サービスの構築フロー
※クリックすると拡大画像が見られます
こうしたプロセスによって、体制と機能の最適化が図られていくが、検知された情報をもとに対処のプロセスを回すのはあくまでもユーザー組織となる。
なぜならば、検知された脅威情報をもとにビジネスインフラであるITシステムにどのような措置を講じるかは、ユーザー組織のビジネスオーナーにしか判断できないからである。したがって、監視/運用支援サービスを利用する際には、経営層や事業責任者を巻き込むかたちでインシデント対処のプロセスを適切に回せる体制を整えておくことが必要となる。
ただ逆に、その体制さえ構築しておけばユーザー組織は多様化、高度化する標的型サイバー攻撃に対抗していくことが可能になる。その意義は決して小さくないはずである。
DDIを活用した監視/運用支援サービスを提供するパートナー企業は数多く、それぞれが自社の特色やスキル、ナレッジを生かしたサービスを展開している。ご興味のある方は、是非、各社にお問い合わせいただきたい。
問い合わせ先
トレンドマイクロ株式会社 法人お問い合わせ窓口
TEL:03-5334-3601
Mail:sales@trendmicro.co.jp
受付時間:9:00~12:00、13:00~18:00(土日・祝日・振替日を除く)
| サービス提供企業名 (あいうえお順) |
サービス名 | 内容 |
|---|---|---|
| 株式会社アズジェント | マネージドセキュリティサービス for Deep Discovery Inspector | お客様環境に設置されたDDIを24時間365日運用監視するサービスです。 検出される単一のイベントを逐次報告するのではなく、経験豊富なセキュリティ専門アナリストが継続的・相関的に分析し、恒久対策のご提言を添えてご連絡します。DDIの持つ能力を十分に発揮し、標的型攻撃をはじめとしたサイバー攻撃の兆候を検知することが可能です。 |
| 伊藤忠テクノ ソリューションズ株式会社 |
CTCマネージド・セキュリティ・サービス(CTC-MSS) | お客様のセキュリティ対策を支援するために、CTCが提供している、『現状分析』、『製品・対策の導入』、『セキュリティ監視』、『CSIRT支援』といった総合的なセキュリティサービスのうち、CTC-MSSでは、DDIの監視と、当社のセキュリティオペレーションセンターの情報を利用した高度なセキュリティ分析を提供します。 |
| 株式会社エス・シー・ラボ | Deep Discovery アドバンスト監視サービス | 標的型メール攻撃による不正通信の発信や、ランサムウェアへの感染が確認された場合に、24時間365日の有人対応により、お客様へのご連絡や通信の遮断、ウイルス駆除などの対応を行う緊急対応サービスです。弊社オリジナルサービス RS-SHADAN(ネットワーク遮断)とDDI を連携することで、不正通信検知後、自動で該当PCを即時遮断することも可能です。 |
| NRIセキュア テクノロジーズ株式会社 |
DDI管理サービス | DDI の 「機器の導入」「運用」「脅威分析監視」をワンストップで提供します。 グローバルに展開するセキュリティアナリストチームが、DDIの検知ログに最新の脅威情報(Threat intelligence)を加えた相関分析を行い、お客様のインシデント発生状況と対応策(処方箋)について24時間365日体制で報告しています。 |
| 株式会社シーイーシー | 標的型サイバー攻撃対策 | 24時間365日体制のセキュリティ専門チームにて、DDI導入前のセキュリティ脅威や対策が予め把握できるアセスメントサービス、設計~導入~運用のワンストップサービス、セキュリティ脅威の検知~分析~対処を包括的に提供する監視サービス(CEC SOC)、初期導入コストを削減するDDI月額提供サービスなど、お客様の事業環境に最適なセキュリティサービスを提供します。 |
| 日本電気株式会社 | ActSecureマネージドセキュリティサービス | お客様環境に設置された DDI を弊社監視センターよりリモートでリアルタイムにセキュリティ監視、運用を行うサービスです。 検知したインシデントは分析エンジンおよび弊社アナリストにより分析・判断され、緊急度の高いインシデントに絞ってお客様に通報を行いますので、運用負担低減が可能になります。プロキシサーバやURLフィルタでコールバック先への遮断設定を行うオプションもご用意しています。 |
| 株式会社BCC | トータルセキュリティサービス (TSS) | 特に中堅中小企業のお客様を中心に求められる要件とコストバランスを考慮したトータルセキュリティサービスです。当社技術者の持つ豊富な経験やノウハウを活かし、セキュリティインシデント発生時の調査(診断)・分析・対策・SOCおよび更なる改善までを、DDIを有機的に連携させたワンストップサービスとして提供します。 |
| 株式会社日立システムズ | セキュリティデバイス監視サービス | DDIを、日立システムズのSHIELD SOC(Security Operation Center)から24時間365日、遠隔監視するサービスです。 アナリストがインシデント検知ログを分析し、インシデント内容と必要となる対策案をご提示します。 |
| 株式会社富士通エフサス | ウイルスふるまい検知サービス | 最適なセキュリティ対策を初期投資を抑えてご提供するサービスです。利用するDDIは月額費用に含んでご提供するため、製品購入の初期投資は不要です。セキュリティエキスパートが、詳細ログ解析や有事の対処など、高度なスキルを要する運用作業をご支援します。センター監視による24時間体制の異常早期検知&通報に加え、全国のセンターからITスキルを持つ技術員を派遣し現地作業を代行します。 |
