ネットワンシステムズは10月24日、都内で説明会を開催し、セキュリティ監視・運用サービス「MDR(Managed Detection and Response)サービス」を12月より提供開始すると発表した。
新サービスは、マルウェアに感染した端末を検知・特定・隔離するサービスと情報漏洩を防止するためのアクセス制御を行うサービスで構成される。
市場開発本部長の松本陽一氏は、新サービスの特徴について、「新サービスの特徴は、ネットワークの境界線上の対策にとどまらず、端末にまで踏み込んで対策を提供している点。昨年に提供を開始した、外部境界を監視する『マネージド・セキュリティ・サービス』(以下、MSSサービス)を補完するサービスであるとともに、多層的なセキュリティ対策を支援する」と説明した。
同社はこれまでネットワーク、クラウド、セキュリティのソリューションについて、設計・構築から保守運用まで提供してきたが、松本氏は「セキュリティの場合、ソリューションを導入した後の運用も重要となるが、一企業のCSIRTだけですべてカバーするのは難しい。われわれはそこをサポートしていきたい」と述べた。
内部侵害を前提とした脅威に対抗するための新サービス
続いて、市場開発本部 セキュリティ戦略支援部 部長の菅原崇史氏が、MDRサービスが提供に至った背景を説明した。
菅原氏は、近年侵害が報告されている脅威の特徴として「企業の内部ネットワークから攻撃が行われる」「攻撃手法の高度化により従来の手法では検知が困難」「古い脆弱性が標的となっている」を挙げた。
こうした特徴から、内部への侵害を前提とした対策が必要とされるようになっており、具体的には外部境界のゲートウェイでの防御からLANやエンドポイントでの検知や対処が必要になっているという。
菅原氏は、セキュリティ組織であるSOC(Security Operation Center)とCSIRT(Computer Security Incident Response Team)においても、役割の変化が求められていると指摘した。侵害を前提としたSOCの機能が求められており、高度な知見と技術を持ったSOCが対応範囲を広げて、CSIRTを支援する必要があるという。
しかし、こうした体制を構築するにあたっては、24時間体制、さまざまな分析が可能なスキル、インテリジェンスのアップデートが必要だが、「一企業でこれを行うのは不可能」(菅原氏)であり、それをカバーするのが今年1月に立ち上げたセキュリティオペレーションセンター「NetOne-SOC」となる。
NetOne-SOCは24時間365日の体制で、MDRサービスを提供する。同センターには、シフト制のメンバーが10人、システムエンジニアなどのオペレーション担当のメンバーが15人所属しているという。
顧客が必要とする機能を柔軟に提供可能
MDRサービスの特徴については、市場開発本部 セキュリティ戦略支援部 副部長の長田晋一氏が説明した。
MDRサービスでは、端末可視化・制御ツール「CounterACT」、不審な外部向け通信を検知するツール「Damballa Network Insight」、EDRツール「Cb Response」、セキュリティポリシー分析・適用ツール「Security Management Suite」が利用される。
「情報漏えい防止アクセス制御」サービスは、「Security Management Suite」を用いて提供される。長田氏は、同サービスの利用に適している企業の例として、複数のファイアウォールを利用している企業を挙げた。「企業では、ファイアウォールを更新する際、ポリシーもそのまま使っているケースが多いなど、ファイアウォールのポリシーを管理できている企業は少ないと見ている。一方、企業のITインフラの状況は変わっており、ポリシーはインフラの最新の状態に合っていない可能性がある」(長田氏)
「マルウェア感染端末の検知・特定・隔離」サービスは、「Damballa Network Insight」で端末を検知・特定し、「CounterACT」で端末を隔離する。このサービスは、端末に統一のエージェントを導入できない環境に適しているという。
そして、最も高度なサービスが、「Cb Response」を用いたサービスとなる。このサービスは、端末内部まで調査・対処の範囲とすることで、高度な対処を可能にする。
これらのサービスは、ユーザーの要望やシステム環境に応じて提供可能であり、長田氏は「柔軟性がMDRサービスの特徴の1つ」とアピールした。
MDRサービス」の価格は、「マルウェア感染端末の検知・特定・隔離」が月額64万円から、「情報漏えい防止アクセス制御」が月額44万円からとなる(いずれも税別)。