Managed Security Providers を活用するための3つのヒントとは?

3 Pillars of a Successful Managed Security Services Deployment

2022/01/14 SecurityBoulevard — セキュリティの専門家で構成される、SWAT チームを社内に設置して、組織に対する最新の脅威に対応したいと思っても、それだけの余裕のある企業は多くない。数多くの企業が、時間とリソースの制約を受けている。また、スキル不足が深刻化し、優秀なサイバーセ・キュリティの専門家を雇用/維持することが、困難になっている企業もある。

MSP に関する基礎知識

そこで注目されているのが、Managed Security Providers (MSP) である。重要な資産を悪者から守ることに苦労している企業が、MSP の専門知識を求めており、かつてないほどの人気を誇っている。

しかし、あなたの組織は、MSP を利用するための基本的な知識を持っているだろうか? MSPを導入した後に、社内のセキュリティ・チームと MSP との連携を、どのように確立/確保するのだろうか? 役割と責任について言うなら、重複や見落としのないようにすることで、ビジネスにおけるセキュリティ・ギャップに対処することを目指すべきだ。

多くの企業が、効果的なデータ保護プランの策定を急いでいる。それは、急速に変化するデータ・プライバシー法への対応と、発生し続けるランサムウェア攻撃からの被害の軽減を目的としたものだ。ここでは、MSP の ABC について、IT と MSP の価値ある関係を促進するための、3つの方法をご紹介していく。

セキュリティ・ニーズの明確化

保護が必要な重要資産を、特定し、理解する。これは、データの分類とともに、情報セキュリティ戦略を成功させるための基礎となります。企業として、絶対に保護しなければならないものを考えよう。たとえば、知的財産/ソースコード/ミッションクリティカルなデータなどがある。

CISA (Cybersecurity & Infrastructure Security Agency) が指摘するように、「重要資産とは、業務を維持し、組織のミッションを達成するために不可欠なリソース」である。これらが危険にさらされた場合、ビジネスに悪影響がおよぶ可能性が高く、組織を運営する上でのリスクとなる。これらの資産を把握することは、インサイダー脅威に対するプログラムを開始する際にも大いに役立つ。

これらの重要な資産が特定されたら、MSP に対してセキュリティ上の要件と欠陥を簡潔かつ効果的に伝える。これが、保護のベースラインを確立するための、重要なステップとなる。また、社内のチームと MSP の双方に、期待する機能/役割についても、一致していることを確認する。

信頼関係の構築

あなたの組織が MSP と、より多くの交流や関わりを持てば持つほど、より良い関係が構築される。その他の良好な関係と同じであり、特別なものはない。このようなコミュニケーションを通じて、あなたのチームは、MSP ができること、できないことを含めて、自分たちの機能をより良く理解するようになる。

また、IT 戦略とビジネスの整合性を確保することで、組織はスムーズに運営されるようになる。チーム間でオープンな対話を続けることで、お互いのスキル・セットを学び、信頼関係を築くことが可能となり、長期的に見れば業務の効率化にもつながる。

MSP は、セキュリティ・チームの延長線上にあるものと考えてほしい。これにより、セキュリティ・インシデントに対処する際の、業務上の相乗効果が期待できるようになる。また、脅威の調査やフィッシングの調査といった、ダウンタイム中に MSP が付加価値を提供できる領域も発見されていく。

コミュニケーションとコラボレーションの継続

前述のように、オープンで活発な対話を維持することは、最良の MSP/IT 関係の鍵となる。MSP が提供するサービス (ネットワーク/アプリケーション/インフラ/セキュリティなど) に関わらず、四半期ごとのビジネス レビュー (QBR) などの定期的なチェックインを設定し、トレンド/インシデント/ポリシー変更などについて話し合い、すべての関係者が常に情報を把握できるようにする。

これらのミーティングでは、貴重な情報を得ることが可能であり、セキュリティ・チームと MSP が協力して、改善点を見極めることが可能となる。また、セキュリティ・チームは、会社の上級役員に報告する際に、MSP の価値をより適切に伝えられるようになる。

MSPを利用することで得られる、経済的なメリットは周知のとおりだが、測定基準を持ち、投資収益率 (ROI) を示すことができれば、さらに効果を高められる。MSP は、IT 部門に定着した後に、時間をかけて配当金を得ることができる。これらの3つのヒントを活用することで、あなたの組織が、MSP との関係を成功させるための、正しい道筋を付けられることを願っている。

MSP の定義ですが、NRI の用語集に Managed Security Service があり、「MSSとは、企業や組織の情報セキュリティシステムの運用管理を、社外のセキュリティ専門企業などが請け負うサービスのことです。自社でセキュリティの専門家を採用・養成することが難しい場合などでも、専門家へとアウトソースすることができます」と説明されています。おそらく、これから伸びてくるセグメントだと思えます。なお、先ほどポストした「クラウドの暗号化を改善するためのベスト・プラクティスとは?」と同様に、この記事も Gartner の Is the Cloud Secure? を参照しています。面白いですね。

%d bloggers like this: