マネージドセキュリティサービスの優れたプロバイダーになるためには、スキル、知識、忍耐が不可欠です。それを誰よりも認識しているのが、WithSecureのCounterceptチームです。今回は、彼らの意見を聞きながら、サービスの最適化やベストプラクティス、さらに用心すべき今後の問題について、重要点を確認していきましょう。

私たちは、なぜ検知に使用するデータを何故それほどまでに厳選するのか、わずかな主要ソースに焦点を絞るのか、尋ねられることがあります。これには、当社独自のEDRやWindowsの認証ログが含まれます。一方で私たちは、ファイアウォールログといった他のデータも保管していますが、これはフォレンジック調査のみのために使用されます。

すべてのセキュリティログをSIEMに取り込むことに慣れたお客様にとって、私たちのやり方は驚かれるかもしれませんが、これには相当の理由があります。第一に、データはすべて等しく作成されているわけではなく、私たちは経験から、攻撃の検知にはより詳細な情報が必要なことを知っています。そしてこれはファイアウォールログからではなく、エンドポイントから容易に入手できるものです。データが多ければそれだけ検知も常に正確になると考えがちですが、そういうわけでもありません。データが間違っていれば、結果として誤検知が増え、処理費用がかさみ、サービスが低下します。

第二に、当社のようなサービスプロバイダーは、すべてのお客様に対して一貫したアプローチを取る必要があります。さもないと、規模が大きくなるほどにデリバリーが複雑になりすぎてしまいます。検知にログデータを使用するということは、ログソース一式を同じくするお客様は二つとないため、お客様ごとに異なるアプローチを用いることを意味します。

こちらのリンク先でご登録いただくと、MSSPに関する独自のインサイトや専門知識を入手できます： MSSPとしての業務効率化の鍵 | ウィズセキュア

「適切な」データと、単なる異常ではなく悪意のあるアクティビティの検知へのフォーカスにより、当社のサービスは直ちに効力を発揮し、検知を効果的にする上でのカスタマイズも最小限で済みます。これは、モニタリングサービスを実際に価値あるものにするまでに何か月もの調整が必要な従来の検知手法とは全く異なるものです。

フォーカスとシンプルさが鍵です。適切なサービス、技術、データにフォーカスして、お客様に必要な成果を提供するのです。サービスプロバイダーが犯しやすい過ちは、色々なことをやろうとしすぎたり、同じことを色々な方法でやりすぎたりすることです。

再現可能で、信頼性が高く、効率的なオペレーションのためには、最適化のためのプロセスの数や複雑さを最小限に抑える必要があります。特定のお客様に対して例外や特別なプロセスを承諾したくなることもよくありますが、信頼性の高いデリバリーのためにはスタッフがそれらすべての例外を覚えていなければならず、それを確実にすることは困難です。

もちろん、お客様の良いパートナーであろうとすること、そしてお客様が何かを依頼するたびに「ノー」と言わないことも大切ですが、実際に提供できるものとの間でバランスをとる必要があります

 当社のMSSPパートナープログラムについて詳しくはこちら：マネージドサービスプロバイダー| サイバーセキュリティ| ウィズセキュア

Counterceptは、24時間365日体制のプレミアムなマネージド検知・対応（MDR）サービス です。これは、当社のElementsテクノロジーのベストな部分と、長年にわたるエンタープライズ顧客の防御で研ぎ澄まされた凄腕の脅威ハンターやプロセスとの組み合わせにより、最先端の攻撃を確実に検知し、防御して、日々の調査の負担からお客様を解放します。

パートナーのMSSPサービスと比較すると、Counterceptはより大規模で複雑な組織に適していて、より高度な調査技術とより踏み込んだ修復を提供します。Counterceptには、セキュリティエンジニアが作成するレポート「Security Insights」も含まれ、将来の攻撃の可能性や影響を低減しながらセキュリティ態勢のどこを改善すべきかについてお客様が把握できるようになっています。長年の経験から私たちは、単に検知と対応に優れているだけでは不十分であることを理解しています。MDRプロバイダーはSecurity Insightsのような補完サービス要素を通じて、お客様に長期にわたり継続的価値を提供する必要があります。

Elements EDRは、Counterceptサービスを支える主力技術で、当社の脅威ハンターが可視化、検知、対応のために最も使用するツールです。したがってElements EDRはCounterceptの中核要素と言えます。

当社のエキスパートから学べる包括的なパートナートレーニングプログラムについて詳しくはこちら：パートナートレーニング | ウィズセキュア

当社のリサーチ担当者と脅威ハンターは、セキュリティコミュニティにも積極的に参加しており、定期的にカンファレンスに出席し、発表をするなど、常に知識のアップデートに努めています。当社はまた、社内に強力な攻撃的セキュリティ能力を擁しているという強みもあり、レッドチームとブルーチームが連携し、攻めと守りの最新技術に関する知識を共有することで、両方のサービスを継続的に向上させています。

1. Counterceptはオンプレミス環境の防御に向けてきめ細かく調整されていますが、ウィズセキュアはクラウド環境の防御でもその効果を発揮させることを目指しています。クラウドセキュリティテクノロジー企業は数多く存在します。そのため、クラウドで業務を行っているお客様のため、対象範囲を広げることに取り組んでいます。これはどのサービスプロバイダーもまだ切り拓いていない領域でしょう。
2. さらに拡張すること。Counterceptは今も急速に成長を続けており、たとえサービスが成熟し効率的になったとしても、改善を止めることは決してできないと私たちは認識しています。私たちにとっての拡張性の多くは、技術的イネーブルメントによってもたらされます。つまりより多くの作業を自動化することで、当社の人材の技術はさらに高まります。
3. Attack Surface Management（ASM）のような他のマネージドサービスと連携する。現在、当社は異なる種類のサイバーセキュリティ成果を提供する2つの非常に効果的なサービスを提供しています。1つは外部攻撃対象領域を発見/最小化するASMで、もう1つはネットワーク侵害を検知し、対応するCounterceptです。両サービスとも、扱うデータやツールを組み合わせることで効果がさらに高まることでしょう。