MSSP

MSSP（Managed Security Service Provider：マネージドセキュリティサービスプロバイダー）とは、企業のセキュリティ運用を外部から包括的に提供する専門サービス事業者です。ファイアウォール・IDS/IPS・VPN等のセキュリティ機器の管理・監視、ログの収集・分析・保管、脆弱性スキャン、セキュリティレポーティングなど、幅広いセキュリティサービスをマネージドサービスとして提供します。

MSSPの最大の価値は、セキュリティ運用のアウトソーシングにより、自社での専門人材の確保・育成やセキュリティインフラの構築・維持にかかるコストと労力を大幅に削減できる点です。24時間365日の監視体制を自社で構築することは多くの企業にとって現実的ではなく、MSSPのSOC（Security Operations Center）を活用することで、コスト効率の高いセキュリティ運用を実現できます。

MSSPは1990年代後半から存在する成熟したサービスカテゴリですが、近年ではクラウド環境やSaaSアプリケーションの監視、コンプライアンス対応支援、脅威インテリジェンスの提供など、サービス範囲が拡大しています。また、MDR（Managed Detection and Response）の登場により、MSSPとMDRの役割の違いや使い分けが重要なテーマとなっており、組織のセキュリティ成熟度やニーズに応じた適切なサービス選定が求められています。

MSSPのサービスカタログ

MSSPが提供するサービスは多岐にわたりますが、主要なサービスカテゴリとして以下が挙げられます。セキュリティデバイス管理（ファイアウォール、IDS/IPS、UTM、WAFの設定・監視・パッチ管理）、ログ管理・SIEM運用（ログ収集、正規化、相関分析、保管）、脆弱性管理（定期スキャン、パッチ優先度評価、脆弱性レポート）、セキュリティ監視（SOCによる24/7のアラート監視と通知）があります。

さらに、コンプライアンス支援（PCI DSS、HIPAA、ISO 27001等の規制対応レポート作成）、セキュリティアセスメント（ペネトレーションテスト、セキュリティ診断）、メールセキュリティ（スパムフィルタリング、フィッシング対策）、DDoS防御などのサービスも提供されます。顧客は必要なサービスを選択して組み合わせることで、自社のニーズに合ったセキュリティ運用体制を構築できます。

SLA設計の重要ポイント

MSSPとの契約において、SLA（Service Level Agreement）の設計はサービス品質を担保するための最も重要な要素です。SLAには、アラート通知までの時間（例：重大インシデントは15分以内）、月次レポートの提出期限、システム稼働率（例：99.9%以上）、障害時の復旧時間目標（RTO）などを具体的な数値で定義します。

特に重要なのはアラートの分類基準とエスカレーションフローの明確化です。何をクリティカル・高・中・低として分類するか、各分類に対するMSSPの対応義務（通知のみか、初期調査まで含むか）を詳細に定義します。また、SLA違反時のペナルティ条項やサービスクレジット、契約の見直し条件なども事前に合意しておくことが推奨されます。

MSSPとMDRの比較

MSSPとMDRの最大の違いは、サービスの深さと対応範囲にあります。MSSPは広範なセキュリティインフラの管理と監視に強みがありますが、検知されたアラートに対する詳細な調査や積極的な対応は限定的なケースが多くあります。一方、MDRは脅威検知の精度と対応の深さに特化し、能動的な脅威ハンティングとインシデント対応を提供します。

選択の判断基準として、セキュリティ機器の管理・運用をアウトソーシングしたい場合はMSSP、高度な脅威検知と対応能力を求める場合はMDRが適しています。多くの組織では、基盤的なセキュリティ運用をMSSPに委託しつつ、高度な脅威対応能力をMDRで補完するハイブリッドモデルを採用しています。

移行計画（トランジションプランニング）

MSSPへの移行は、既存のセキュリティ運用体制から新しいマネージドサービスモデルへの転換を意味し、慎重な計画と段階的な実行が求められます。移行計画には、現状のセキュリティ運用の棚卸し、移行するサービス範囲の定義、移行スケジュール、リスク評価、コミュニケーション計画が含まれます。

移行はビッグバンアプローチ（一括移行）ではなく、フェーズドアプローチ（段階移行）が推奨されます。まずログ管理やファイアウォール管理など影響の小さいサービスから移行し、運用が安定してからSOC監視やインシデント対応など重要度の高いサービスに拡大します。移行期間中は既存体制とMSSPの並行運用期間を設け、サービス品質を検証してから完全移行を行います。

ベンダー管理とガバナンス

MSSPは組織のセキュリティ運用を担う重要なパートナーであるため、適切なベンダー管理体制の構築が不可欠です。定期的なサービスレビュー会議、SLA達成状況のモニタリング、セキュリティインシデントの振り返り、改善提案の検討など、継続的なパートナーシップ管理を行います。

また、MSSP自体のセキュリティ態勢も管理対象です。MSSPが取得しているセキュリティ認証（SOC 2 Type II、ISO 27001等）の確認、従業員のバックグラウンドチェック、データ取り扱いポリシーの検証、サブコントラクターの利用状況の把握など、サプライチェーンリスクの観点からの管理も重要です。契約期間中にMSSPのセキュリティ態勢が変化した場合の通知義務や再評価の条件も契約に含めましょう。

• 01
  サービス範囲と責任分界点の明確化：MSSP契約において、MSSPが担当する範囲と自社が担当する範囲を明確にする責任分界点（RACI）を定義してください。特にインシデント発生時のエスカレーションフロー、意思決定権限、対応責任について、曖昧さを排除した文書を作成しましょう。
• 02
  データの所有権とプライバシーの保護：MSSPに提供するログデータや監視データの所有権が自社にあることを契約で明確にし、契約終了時のデータ返却・削除手順を定めてください。また、個人情報保護法やGDPRなどの規制に準拠したデータ取り扱いをMSSPに義務付けましょう。
• 03
  MSSPのセキュリティ態勢の定期評価：MSSPが取得しているSOC 2 Type IIレポートやISO 27001認証を毎年確認し、MSSPのセキュリティ管理態勢が維持されていることを検証してください。必要に応じて、MSSPに対する独自のセキュリティ監査やペネトレーションテストの権利を契約に含めましょう。
• 04
  出口戦略（Exit Strategy）の事前策定：MSSP契約の終了やベンダー変更に備えて、データ移行手順、ナレッジトランスファー、移行期間中のサービス継続保証などの出口戦略を契約時に策定してください。ベンダーロックインを避けるため、オープンな技術標準の採用も考慮しましょう。
• 05
  コンプライアンス要件の共有と対応：自社が遵守すべき規制・基準（PCI DSS、HIPAA、個人情報保護法など）をMSSPに共有し、MSSPのサービスがこれらの要件を満たしていることを確認してください。コンプライアンスレポートの作成支援や監査対応をSLAに含めることを推奨します。
• 06
  インシデント発生時の合同対応訓練の実施：MSSPと共同でインシデント対応の机上演習やシミュレーション訓練を最低年1回実施してください。実際のインシデント発生時のコミュニケーションフロー、エスカレーション手順、復旧手順の有効性を検証し、改善点を反映しましょう。