サイバーセキュリティ対策ではコンポーネントごとに優良な製品を導入するだけでなく、導入した製品をそれぞれ有効に運用しながらインシデントを未然に防ぐことが重要だ。ソフォスは「Cyber Security as a Service」というコンセプトのもと、EDRを中心としたサイバーセキュリティ運用のマネージドサービス（MDR）を提供。脅威の素早い検知と対応で確かな成果を上げている。

巧妙化するランサムウェアには従来のセキュリティの強化で対応

　昨今サイバー空間で猛威を振るっているランサムウェア。国内でも社会生活に影響を及ぼすような被害が相次いでいる。被害拡大の背景として、サイバー犯罪者側の分業が進んだことで組織規模が拡大し、犯罪の産業化が進行していることが挙げられる。また、ネットワーク機器のぜい弱性を悪用した不正侵入や、闇サイトでクレデンシャル情報を得て正規ユーザーになりすましての侵入など、脅威が入り込む経路も多様化しているのが現状だ。

　攻撃者は常に新たな手を講じて、セキュリティの壁をかいくぐってくる。ランサムウェアに限らず、セキュリティインシデントを防ぐためにはセキュリティを日々強化していかなくてはならない。

　ソフォスの執行役員 営業本部 足立達矢本部長は、「すでにご認識されている通り、EDRやXDRなどの新しい対策を導入することはサイバーセキュリティを強化するために重要なこと。しかし、それだけでなく、現行のPCやサーバ環境を保護するためのエンドポイント製品、そしてファイアウォールなどのネットワークセキュリティ製品の見直しを並行して実施し、最新の攻撃手法に対抗できる適切なソリューションを合わせて導入していくことも強く求められる」と語る。

　さらに、「EDRやXDRなど最新のセキュリティソリューションを導入したものの、現行の従来型エンドポイントを利用したPCやサーバー、そしてネットワーク環境に脆弱性が残っていたために、結局ランサムウェアによる暗号化被害を防ぎきれなかった企業をいくつも見てきた。最適なIT環境の保護は、次世代型エンドポイントやファイアウォールなど、ベースとなるITセキュリティの見直しを行い、その上でEDRやXDRを導入して初めて実現する」と続ける。
 

豊富な蓄積データを用いて脅威を素早く検知し対処するMDR

　現在では多くの企業がアンチウィルスやEDR/XDRなど、脅威を検知する仕組みを導入している。しかし検知はできたとしても、肝心の対応は人間が行うため、人員確保やスキルが課題となり実践は難しい。場合によっては、対応に手間取っている間に攻撃が進行してしまう。侵入経路が増え、攻撃手法も多様化する中、脅威の検出や分析などを自社で行うのは簡単なことではない。

　そこで注目を集めているのが、EDRを含むセキュリティ運用をマネージドサービスとして提供する「MDR」（Managed Detection ＆ Response）の導入だ。

　ソフォスは次世代型エンドポイント、XDR、そしてファイアウォールなどセキュリティ対策に必要な各種コンポーネントを保有しているだけではなく、MDRも強力なことで知られており、世界No.1の導入社数である2万社 近くの顧客を有する。脅威検出の平均時間は1分未満、対応に要する平均時間も12分未満と非常に早い。ガートナーやレビュープラットフォームにおける評価も軒並み高く、セールスエンジニアリング本部 大木竜児本部長は「私たちに対策を丸投げしてほしい」と胸を張る。
 
　対応の速さに寄与しているのが、SOC（セキュリティ オペレーション センター）チームが持つ情報の量と質だ。ソフォス製品はもちろん、他社製品のログも含めて網羅的に分析でき、表記や基準が異なる各社のアラートも共通言語化した上で膨大なデータを保有している。

　これは2022年にSOC.OSを買収したことも大きい。SOC.OSにはセキュリティアラートを統合し、重要なシグナルを特定して優先順位を付ける技術があり、これがソフォスの強みに加わった。従来の知見と新しい技術が組み合わさったことで、ソフォスのSOCアナリストは素早く判断し、対応できるようになったのだ。

　また一度検知した脅威はプレイブックとして情報を整理し記録するため、新しいタイプの攻撃手段が見つかれば見つかるほどデータベースが充実し、迅速かつ的確な対応ができるようになる好循環も生み出している。

2系統のライセンス体系を提供。パートナーとの協業体制にも注力

　ソフォスが提供するMDRのライセンス体系は「Essentials」と「Complete」の2系統だ。どちらも24時間365日、専門家主導で脅威を監視し、検知や封じ込め（攻撃の中断と拡散防止）などを行う。

　Completeであれば全て「お任せ」でき、社内にセキュリティ対応チームがいなくても問題ない。専任の担当者がフルスケールのインシデント対応を実施し、今後の再発を防止できるように根本原因分析も行う。

　Completeを導入し万が一セキュリティ侵害が起きても、ソフォスが100万米ドル（約1億4,500万円）まで被害を補償する。しかし、これまでに侵害が生じたことはなく、よって100万米ドルが支払われたことも一度もない。「どのような攻撃もわれわれは食い止める、という自信の表れでもある」と大木本部長は語る。

　世界各国で導入が続く中、日本国内でも1ユーザーから最大で1万6000ユーザーまで、非常に多くのMDR導入事例がある。その一つとして挙げられるのが、「Sophos Intercept X Advanced with XDR」をベースにしたSophos MDR Complete セキュリティサービスをエバラ食品工業が採用した事例だ。クライアントからサーバまで包括的に保護し、サイバー犯罪者の侵入を検知しても駆除から復旧まで自動的に行うため、情報システム部担当者は結果を確認する程度の業務負担で済むようになった。

　今後は他社セキュリティ製品との連携強化を予定している。例えばすでに「Sophos MDR for Microsoft Defender」（Sophos MDRの監視対象をMicrosoft製品にも拡張するサービス）をはじめ、ファイアウォール、メールセキュリティ、パブリッククラウド、アイデンティティ、ネットワークといったカテゴリで数十種類の他社製品への対応が提供されているが、順次連携対象を拡張していく方向だ。

　ソフォスでは以前より「チャネルファースト」という標語を掲げ、全国の販売パートナー企業への支援も積極的に行っている。例えば営業とSEが全国各地のパートナーの元へ訪問し、デモ対応や案件同行、クロージングなど、パートナーとの連携による導入支援からアフターサポートまで対応している。またリアルイベントも定期的に行っており、今年も「Sophos ROADSHOW 2023」を全国4都市で開催した。

　「案件の有無にかかわらず、お声がけいただければ当社メンバーがすぐに訪問し、ユーザー様の元へ伺って案件化していきたい」と大木本部長は語る。

　「これからも“Cyber Security as a Service”のコンセプトをもとに、国内ユーザー企業様が抱えるサイバーセキュリティ課題の解決をソフォスが請け負っていく。その活動をパートナー様と一緒に展開してビジネスに還元できるように、今後も協業体制をより加速させていきたいと考えている」と足立本部長は意気込みを語る。