SBテクノロジー株式会社が提供しているサービス「MSS for UTM」の特徴や評判について徹底調査しました。
導入するメリットやデメリットに加え、サービスの対応規模も紹介します。
目次
マネージドセキュリティサービス(MSS)とは
サイバー攻撃に用いられる手法が巧妙化し、複雑さを増しています。
このため、様々な機能がパッケージ化されたUTMを導入する企業も増えました。
一方、導入後の運用をする専門の人材が必要なことはあまり知られていません。
各UTMは社内ネットワークの状況をログやレポートとして表示しますが、IT担当者であってもこれらのログを監視して読み解くことは非常に困難です。
UTMによる検知があった場合、その危険度や考えられる被害を想定することは、IT担当者の責務を超えているため、セキュリティ専門家の力が求められています。
このような背景から、セキュリティ対策の管理・運用をアウトソースするサービス、「マネージドセキュリティサービス(Managed Security Service:MSS)」が生まれました。
MSS for UTMの特徴
ソフトバンクの関連会社であるSBテクノロジー株式会社は、ICTサービスを中心に展開しています。
SBテクノロジーのMSS、「MSS for UTM」は、UTM製品を導入済みの企業に対し、24時間365日体制でセキュリティ専門アナリストが運用サポートするサービスです。
UTM導入後の課題を解決するサービス
例えば、Palo Alto NetworksのUTMの場合、次のような形式でレポートが表示されますが、これだけでは異常が発生しているのか、異常であればどのような対策をすれば良いのか分かりません。
画像引用Palo Alto Networks Productsレポート
セキュリティ専門アナリストは、契約企業のネットワーク構成やセキュリティトレンドなども加味しながら、これらのレポートやログを読み解き、適切な対応を導き出します。
一方、セキュリティ専門アナリストは自社で雇用することが難しい職種の代表格です。
自社で人材を雇用する代わりに、サービスというかたちでそのスキルを活用できるのが「MSS for UTM」です。
なお、「MSS for UTM」の対象UTMは、国内のUTMシェア上位2社の製品です。
- Fortinet「FortiGateシリーズ」
- Palo Alto Networks「PAシリーズ」
これら以外のUTMについては別途相談となっています。
「MSS for UTM」のサービス内容
「MSS for UTM」では、セキュリティ専門アナリストが契約企業に代わり、次のような作業を行います。
セキュリティ監視
- インシデント監視:UTMがアラート発した場合、セキュリティ専門アナリストが危険度を判断して、契約企業に通達。
- セキュリティログ監視:ネットワークの状態変化を監視し、不審な通信を特定。
- システム監視:ログ受信・管理ポート・冗長構成・パフォーマンス(メモリ、CPU、ディスク)・シグネチャ更新など、ネットワーク稼働状況を常に監視しシステムダウンを未然に防ぐ。
セキュリティ運用
- 通信遮断:サイバー攻撃を受けた場合など、UTMで不正通信が遮断可能な場合に、通信を遮断。
- 運用:シグネチャの更新作業・Firewallアクセスリストの設定変更・設定ファイルのバックアップを契約企業に代わり実施。
- 報告・レポート:インシデントの検出状況やシステムの稼働状況を分かりやすくまとめて提示。
複数機能のログを横断的に分析
例えば、ファイアウォールとIDS(侵入検知システム)の機能が、外部からの異常なアクセスを検知した場合、多くのMSSでは、ファイアウォールとIDSのログを確認し、「インシデント発生の”可能性”がある」とだけ報告します。
画像引用マルチファンクションによる相関分析/ MSS for UTM
「MSS for UTM」では、この場合、URLフィルタリング・アプリケーションコントロール・アンチウイルスなどの関連機能のログも確認し、感染の有無・危険度・影響範囲・対策までを導き出して、契約企業に報告します。
低リスクレベルのアラートも対象
UTMがアラートを発していても、低レベルのアラートの場合、無視してしまうことも少なくありません。一方、検出を逃れるため、時間をかけて攻撃を実行する巧妙なマルウェアも存在します。
一例は、「パスワードスプレー攻撃」です。
特定のIDに対し、例えば”pass001”、 ”pass002”、 ”pass003”・・・とパスワードと一致するまで総当りで文字列を入力して不正にログインを試みる、ブルートフォース攻撃がありますが、手口が巧妙化し、「パスワードスプレー攻撃」では、アカウントのロックを避けるために、例えばパスワード候補を3つだけ試行したらロックしないよう一旦攻撃を止め、時間をあけて再度攻撃します。
このような攻撃は攻撃と分かりにくく高レベルのアラートとして上がってきません。
「MSS for UTM」では、あらゆる攻撃の芽を摘むために低レベルのアラートも調査対象としています。
MSS for UTMを導入するメリット・デメリット
「MSS for UTM」を購入するメリットとデメリットを紹介します。
MSS for UTMのメリット
「MSS for UTM」のメリットは、セキュリティ専門アナリストによる監視と解析サービスを365日受けられる点です。
万が一、事業が休みの土日に攻撃があった場合も、「MSS for UTM」のアナリストが不正な通信を遮断する措置を行うことができます。
MSS for UTMのデメリット
「MSS for UTM」は2018年から提供を開始している新しいサービスです。
これまで導入した企業からの評価や口コミなどの情報に乏しく、本当の導入効果が未知数です。複数のMSSと比較しながら検討するほうが良いでしょう。
MSS for UTMの対応規模は?
「MSS for UTM」で対応できる範囲はどのくらいでしょうか。「MSS for UTM」を導入したときに効果の高い企業規模を紹介します。
| 個人・小規模企業
(従業員数20人未満) |
小規模企業(従業員数20~100人) | 中規模企業
(従業員数100~300人) |
大規模企業
(従業員数300人以上) |
|
|---|---|---|---|---|
| MSS for UTMによる対応規模 | ★ | ★ | ||
| 本サイト検証による導入効果が高い企業規模 | ★ | ★ |
「MSS for UTM」が想定している対応規模は不明ですが、1社ごとに個別見積もり、かつ資料請求などの問い合わせが企業ドメインのみで可能なことから、中規模以上の企業を想定したサービスと考えられます。
まとめ
「MSS for UTM」の特徴について解説してきました。「MSS for UTM」は新しいサービスのため、導入効果が未知数です。導入を検討する際には、些細な不明点も確認し、納得した上で契約しましょう。
