要約

  • 日立システムズのマネージドセキュリティの価値は、アラート、脆弱性、または統合変更が承認された顧客アクションとなる瞬間に試される。なぜなら、その時点で証拠の質、権限、ロールバック、ビジネスコンテキストが、アウトソーシングが運用負担を軽減するか増大させるかを決定するからである。
  • 公開情報は真剣な運用基盤を裏付けている。日立システムズの公式資料はシステムインテグレーション、運用、監視、保守、ネットワークサービス、マネージドセキュリティ拡大を目的とした SecureBrain の合併について説明しており、グループのサイバー資料は隣接する SOC およびインシデント対応能力を示している。
  • 証拠は、日立システムズを標準化されたブラックボックス型の対応プロバイダーとして扱うことを支持しない。顧客環境、権限ルール、テレメトリの完全性、ツール統合、誤検知、レガシーインフラ、日本企業の承認慣行が中心的な変数である。
  • 自動化は、トリアージ、エンリッチメント、チケットルーティング、通知、反復可能な封じ込めステップを圧縮する場合、日立システムズを助けることができる。しかし、弱い証拠を隠したり、顧客固有のシステムに一般的なアクションを適用したり、ロールバックを困難にしたりする場合にはリスクとなる。
  • 商業的な課題は、アウトソーシングされたセキュリティと統合による節約が、オンボーディング、プレイブックのメンテナンス、誤検知レビュー、顧客調整、専門家へのエスカレーション、証拠保持、監査業務、ベンダー依存を上回るかどうかである。

難しいのはアラートではなく、受け入れられるアクションである

日立システムズは、そのサイバーセキュリティメニューの大きさだけで評価されるべきではない。同社は、マネージドサービス、システムインテグレーション、セキュリティ監視、コンサルティング、エンドポイントおよびネットワークテレメトリ、インシデントサポート、製品統合、グループセキュリティオペレーションを挙げることができる。より有用な質問はより狭い。アラートが発生した場合、または変更が提案された場合、日立システムズはその案件を、顧客が受け入れ、理解し、後で監査できる対応に移すことができるか?

これは、アラートの量やツールカバレッジとは異なる基準である。マネージドセキュリティプロバイダーは、不審なログイン、エンドポイントイベント、フィッシングページ、マルウェア指標、特権変更、脆弱性露出を検出しても、次のステップが不明瞭であれば、顧客を満足させられない。どのデバイスを隔離する権限があるのか?誰がアカウントをリセットできるのか?どのシステムオーナーがファイアウォールやアイデンティティポリシーの変更を承認しなければならないのか?実際のインシデントと誤検知を区別するのに十分な証拠は何か?封じ込めがあまりに積極的だと、どの業務プロセスが中断するか?環境が復旧したことを証明するロールバック状態は何か?顧客はそのアクションが有効だったことをどうやって知るのか?

日立システムズの商業的な約束は、そのギャップの中にある。日本の企業、公共セクター組織、大規模マネージドサービスのバイヤーは、より多くのダッシュボードが欲しくてセキュリティをアウトソースするのではない。自社のチームが、監視のノイズ、統合のずれ、レガシーシステム、監査要求、専門レスポンダー不足によって過負荷になっているためにアウトソースするのである。プロバイダーはその負担を軽減することになっている。しかし、各アラートについて依然として顧客がコンテキストを再構築し、承認を追い、ツールのアクションをすべて監督する必要があるならば、マネージドサービスは救済ではなく、もう一つの運用レイヤーになってしまう。

だからこそ、同社の価値をグループの規模だけから推測することはできない。日立システムズは広範な日立グループの一員であり、自らをセキュリティ機能を備えたシステムインテグレーターおよびマネージドサービスプロバイダーと位置付けている。また、フィッシング対策、Web セキュリティ、マルウェア解析製品を持つセキュリティ企業 SecureBrain を2024年4月の合併によって吸収している。これらの資産は重要である。それは技術陣を拡大し、社内により多くの製品固有の知識を与える。しかし、顧客向けのテストは依然として運用上のものである。プロバイダーは、ツールの証拠、顧客固有のインフラ、承認ルール、対応権限を反復可能な方法で結びつけなければならない。

したがって、受け入れられるマネージドセキュリティ対応が分析の単位である。顧客が、なぜそのアラートが重要か、どの証拠がそれを支持するか、どのような選択肢があるか、誰がアクションを承認したか、アクションがどのように実行されたか、ロールバックがどのように機能するか、事後に何が検証されたか、残存する不確実性は何か、を理解できたとき、その対応は受け入れられたと言える。この基準は要求が高いが、公正である。それは、セキュリティアウトソーシングの中で実際に顧客のコストとリスクを変える部分を測定する。

日立システムズはセキュリティ周りの運用レイヤーを売る

日立システムズの公開資料は、同社を狭い製品ベンダーのレーンではなく、幅広いシステムインテグレーションおよびマネージドサービスの役割に位置付けている。会社概要は、システムインテグレーション、システム運用、監視・保守、ネットワークサービス、情報関連機器・ソフトウェアの販売・開発を説明している。SecureBrain 合併のリリースは、成長戦略の一部としてマネージドセキュリティサービスを位置付け、日立グループのサイバー資料は、隣接する監視、インシデント対応、デジタルフォレンジック、およびマネージドサービス能力を示している。

その運用レイヤーのポジションは重要である。純粋なセキュリティ製品ベンダーは、製品が疑わしいイベントを発見したと言い、顧客に統合を任せることができる。マネージドセキュリティとシステムインテグレーションのプロバイダーは、より困難な課題を負う。イベントを、アイデンティティシステム、エンドポイントツール、クラウドコンソール、チケッティングプラットフォーム、ネットワークインフラ、ビジネスアプリケーション、変更ウィンドウ、リカバリ計画、報告義務に接続するよう求められる可能性がある。多くの日本の企業や公共セクターの環境では、これらのシステムはクリーンなグリーンフィールドスタックではない。そこには、長期稼働のアプリケーション、ベンダー固有のアプライアンス、アウトソースされた運用、部門ごとの権限、厳格な承認慣行が含まれることがある。

日立システムズのポジションの強みは、システムインテグレーションが、分離されたセキュリティツールには欠けるコンテキストへのアクセスを与えることである。プロバイダーがすでに顧客のネットワーク、サーバー、クラウドサービス、エンドポイント、サポートプロセス、ビジネスオーナーを理解していれば、アラートが何を意味するかについて、より適切な判断を下せる。どのサーバーがクリティカルか、どのユーザーが特権を持つか、どの支店が特定の接続に依存しているか、どのアクションが重要なサービスを中断させるか、を特定できる。そのコンテキストによって、対応をより速く、より無謀でなくすることができる。

弱みは、そのコンテキストの維持にコストがかかることである。顧客環境は絶えず変化する。新しい SaaS アカウントが現れる。部門がクラウドワークロードを追加する。エンドポイントからセキュリティエージェントが消える。アイデンティティグループがずれる。ネットワーク図が古くなる。古い例外は、その理由がなくなった後も残る。プロバイダーは、不完全なドキュメント、断片的なテレメトリ、不明瞭なエスカレーションリストを引き継ぐ可能性がある。商業契約には「マネージドセキュリティ」と書かれていても、運用上の現実は、継続的な発見、ドキュメントのクリーンアップ、顧客への確認作業を必要とするかもしれない。

日立システムズの証拠ベースは、慎重な結論を支持する。同社は、インテグレーション作業、セキュリティ運用、コンサルティング、サポートを組み合わせているため、マネージドセキュリティ対応を提供するための信頼できる基盤を持つ。しかし、顧客がアウトソーシングによって内部のオーナーシップの必要性がなくなると想定すれば、苦戦する理由もある。マネージドセキュリティは顧客の説明責任を排除しない。それは顧客の説明責任をハンドオフモデルに変換する。ハンドオフがより優れているほど、プロバイダーが生み出す価値は大きい。

SecureBrain は能力を拡大するが、境界問題も鮮明にする

2024年の SecureBrain の日立システムズへの合併は、セキュリティ製品と研究の能力をマネージドサービス事業に近づけるため、戦略的に関連性がある。SecureBrain は、フィッシング対策、Web サイトセキュリティチェック、マルウェア解析、アプリケーションセキュリティ製品・サービスと関連付けられてきた。日立システムズは、この合併を、セキュリティ事業の強化と、グローバルサービス開発を含むマネージドセキュリティサービスの拡大の一環と説明している。

これは技術面での主張を助ける。製品の専門知識は、検出コンテンツ、脅威分析、フィッシング防御、Web セキュリティ監視、マルウェア解釈を改善できる。製品と研究の知識を活用できるマネージドサービスデスクは、なぜそのシグナルが重要か、またどのように対応すべきかを説明するのが上手くなるはずだ。顧客にとっては、それによって「ツールが何かを検出した」と「プロバイダーがツールの見ているものを理解している」との間のギャップが縮まる可能性がある。

この合併はまた、無視すべきでない境界問題も生み出す。セキュリティ製品の能力は、マネージド対応と同じではない。フィッシング対策製品は、クレデンシャル窃取の試みを検出・ブロックするのに役立つかもしれない。Web セキュリティサービスは、疑わしいページやサイト侵害の兆候を特定できるかもしれない。マルウェア解析能力は、サンプルを説明できるかもしれない。それらは貴重なインプットである。しかし、顧客は依然として対応プロセスを必要とする。アカウントリセット、エンドポイント隔離、Web テイクダウン、コミュニケーション、法的レビュー、サービス復旧、ユーザー通知、予防策である。日立システムズの課題は、獲得した能力が、広範なマネージドサービス約束の中の製品サイロのままで終わらないようにすることである。

境界の明確さは商業的に重要である。なぜなら、顧客は混合した言葉で成果を購買するからだ。彼らは監視、マネージド検出、インシデントサポート、脆弱性管理、フィッシング対策、エンドポイント保護、統合、または一般的なセキュリティオペレーションが欲しいと言うかもしれない。それぞれのフレーズは異なる責任分担を意味する。製品サブスクリプションは、顧客がアラートに基づいて行動することを要求するかもしれない。マネージドサービスは、トリアージと推奨を含むかもしれないが、システムを封じ込める権限は含まないかもしれない。対応リテーナーは、専門家へのエスカレーションを含むかもしれないが、日常的な監視は含まない。システムインテグレーションプロジェクトは、管理策を導入するかもしれないが、日常の運用は別の場所に任せるかもしれない。

これらの境界が曖昧であれば、実際のイベント時に顧客の信頼は急速に損なわれる。顧客は「マネージドセキュリティ」と聞いてアクションを期待する。プロバイダーは、通知と推奨を要求する契約書を見る。セキュリティツールは深刻なアラートを示すが、権限マトリックスは承認されていない。顧客は内部オーナーを起こさなければならず、彼らは最初のアナリストがパッケージ化していない証拠を求める。数時間が経過する。その後、双方は自らの責任を果たしたと主張できる一方で、対応は依然として失敗している。

したがって、SecureBrain の合併は、能力の証明として読まれるべきであり、受け入れの証明ではない。それは日立システムズにより多くのセキュリティコンテンツと製品経験を与える。それ自体は、顧客固有のアラートが、承認され、可逆的で、十分に文書化されたアクションになることを証明しない。その証明には、顧客事例の証拠、測定された対応成果、および公開されていない権限モデルに関する明確さが必要である。

証拠の質がマネージドサービス製品である

マネージドセキュリティプロバイダーにとって、証拠の質は報告上の気配りではない。それが製品である。顧客は、すべてのログクエリ、相関ルール、エンリッチメントルックアップ、アナリストノート、エスカレーションコールを見るわけではない。顧客は証拠のパッケージと推奨されるアクションを見る。そのパッケージが弱ければ、顧客の内部チームが作業をやり直さなければならない。それが強ければ、顧客はより迅速な決定を下し、後でそれを擁護できる。

良い証拠は、一度にいくつかの質問に答える。何が起こったのか?どのアイデンティティ、エンドポイント、アプリケーション、ネットワークセグメント、ドメイン、IP アドレス、ファイル、メールボックス、またはサービスが関与したか?アクティビティはいつ始まり、いつ止んだのか?どのシステムがそれを観測したか?どのログが欠落しているか?その行動を異常と見なす理由は何か?どのような無害な説明が考慮されたか?どのレベルの信頼度が正当化されるか?どのアクションが推奨されるか?そのアクションを取ると何が壊れる可能性があるか?成功はどのように検証されるか?監査、保険、法的レビュー、経営報告のためにどのような記録が残るか?

日立システムズの公開資料は、証拠のパッケージ化が同社のサービス範囲内にあるという考えを支持する。同社は、製品の再販だけでなく、セキュリティ監視、インシデント対応、コンサルティング、脆弱性評価の言葉で語っている。日立グループの Trusted Cyber Management を中心としたサイバー資料もまた、監視、対応、デジタルフォレンジック、マネージドサービスを強調している。これらの機能は証拠規律を必要とする。しかし、公開情報は、日立システムズが個々の顧客証拠パッケージの品質を測定できるほどの詳細を提供していない。日立システムズがアラートを文書化し、誤検知を解決し、承認を取得し、封じ込めを実行し、顧客固有の環境全体で復旧を検証する方法を示す、公開された管理されたサンプルは存在しない。

その不在は、同社が弱いことを意味しない。それは、確信を限定すべきであることを意味する。マネージドセキュリティはしばしば設計上不可視である。顧客はインシデント事例の公開を望まず、プロバイダーは品質を証明するような厄介な承認記録をほとんど公開しない。したがって、アナリストはでっちあげの指標を避けるべきである。日立システムズの誤検知率、平均トリアージ時間、平均封じ込め時間、顧客受入率、ロールバック成功率、インシデントレポート品質を述べる公的な根拠はない。公正な判断は構造的である。同社のサービスの組み合わせは証拠の質を中心に据えており、その顧客価値は、その証拠が内部の監督を減少させるかどうかに依存する。

証拠はまた、ハンドオフを生き残らなければならない。セキュリティアナリストは、アラートが本物に見える理由を知っているかもしれないが、顧客のシステムオーナーは異なる説明を必要とするかもしれない。エグゼクティブはビジネスインパクトを必要とするかもしれない。法務またはコンプライアンス担当者は、タイムスタンプとデータ露出の境界を必要とするかもしれない。ネットワークチームは、正確なファイアウォールまたはルーティングの変更を必要とするかもしれない。クラウド管理者は、アカウントとポリシーの詳細を必要とするかもしれない。ヘルプデスクチームは、ユーザー指示を必要とするかもしれない。日立システムズがセキュリティ専門家向けにしか証拠をパッケージ化しなければ、非セキュリティオーナーがアクションを承認しなければならないときに対応が停滞する可能性がある。

最良のマネージドサービスプロバイダーは、証拠を意思決定支援に変える。彼らは単にアラートを転送するのではない。彼らは結果、選択肢、信頼度を説明する。日立システムズにとって、これは特に重要である。なぜなら、同社のターゲット市場には、内部の専門家負担を減らすためにアウトソースする組織が含まれるからである。プロバイダーの証拠が依然として専門家による再解釈を必要とするならば、顧客が節約できる額は期待よりも少なくなる。

顧客ハンドオフが自動化の時間節約を決定する

セキュリティ自動化はしばしば、より速く行動する方法として説明される。マネージドサービスにおいては、それは部分的にしか真実でない。自動化は、アラートをエンリッチし、イベントを相関付け、チケットを作成し、関係者に通知し、エンドポイントを隔離し、アカウントを無効化し、ウォッチリストを更新し、スキャンをトリガーし、フォレンジックアーティファクトを収集し、レポートを下書きできる。これらの機能は遅延を削減できる。しかし、実際のボトルネックはしばしばマシンアクションではない。それはプロバイダーから顧客権限へのハンドオフである。

日立システムズの最ももっともらしい自動化の価値は、ハンドオフの準備にある。繰り返し発生するフィッシングアラートは、ドメイン年齢、ユーザーID、メール受信者、ログイン試行、エンドポイントテレメトリ、Web レピュテーション、過去のキャンペーンパターンでエンリッチされ得る。エンドポイントアラートは、プロセスツリー、ユーザーロール、ネットワーク接続、資産の重要度、最近のパッチ状態にリンクされ得る。クラウド ID アラートは、不可能な移動、新しいデバイス登録、特権グループ変更、機密リソースへのアクセスに結びつけられ得る。プロバイダーはその後、顧客の承認プロセスに合わせて既に形成された推奨を提示できる。

これは、自律的な封じ込めとは異なる自動化の形態である。顧客は、同意なしにプロバイダーがマシンを隔離したり、エグゼクティブのアカウントを無効にしたり、ビジネスアプリケーションをブロックしたりすることを望まないかもしれないことを認識している。アクションは技術的に正しくても、商業的に損害を与え得る。正式な承認と説明責任が特に重要となり得る日本の企業環境では、より速くクリックする能力よりも、明確な承認パケットを準備するプロバイダーの能力の方が重要かもしれない。

ハンドオフには、事前に合意された権限ラダーが含まれるべきである。一部のアクションは、リスクが低くロールバックが容易なため、完全に自動化できる。ドメインをウォッチリストに追加する、ログを増やす、チケットを開く、パスワードリセットを要求する、定義された条件下でメモリアーティファクトを収集する、または顧客連絡先に通知するなどである。他のアクションは条件付きの承認を必要とする。高信頼度のマルウェア証拠後に標準エンドポイントを隔離する、侵害の証拠がある非クリティカルなアカウントを無効にする、アクティブなコマンド&コントロールに関連付けられた外部宛先をブロックするなどである。最も破壊的なアクションは、明示的な人間の権限を必要とする。ビジネスアプリケーションの停止、プロダクションネットワークパスのブロック、デバイスのワイプ、アイデンティティポリシーの変更、顧客への通知などである。

日立システムズの記事の角度は、この境界に属する。同社は、各顧客に対して権限ラダーを最新に保てるかどうかによってテストされる。新しいシステム、部門、子会社、クラウドサービスが、誰が何を承認できるかを変える。一度結ばれた契約が、将来のすべてのインシデントを解決するわけではない。プロバイダーのランブックが古くなる一方で顧客環境が動けば、自動化は脆くなる。それは、過少行動してアナリストがすべてを手動でエスカレーションしなければならなくなるか、過剰行動してサービス中断を生み出す可能性がある。

自動化が、必要なコントロールを取り除くことなく顧客の調整負荷を減らすときに、商業的利益が現れる。顧客は、盲目的なアクションではなく、深夜の電話を減らしたい。プロバイダーは、繰り返し発生するセキュリティタスクを、例外のための明確な経路を伴う事前承認ステップに変換しなければならない。その変換は労力を要する。それはサービスコストの一部である。

承認は行政上の障害ではなく、セキュリティ管理策である

顧客承認を摩擦として扱うのは魅力的である。マネージドセキュリティ対応において、承認はまた管理策でもある。それはプロバイダーが一般的な封じ込めを顧客固有の環境に適用するのを防ぐ。それはアクションを、ビジネスの重要度、法的義務、運用タイミング、ロールバック準備と一致させることを強制する。承認がうまく設計されている場合、プロバイダーがどのアクションを取れ、どのアクションにエスカレーションが必要かを事前に知っているため、速度と安全性の両方が向上する。

日立システムズの顧客は、どれだけの権限を委任するかにおいて大きく異なる可能性が高い。公共セクター組織は、市民向けサービスに影響を与える変更について、正式な通知と文書化された承認を要求するかもしれない。大規模製造業者は、封じ込めがオフィス IT の封じ込めと同じように扱えない運用技術ネットワークを持つかもしれない。金融や医療の顧客は、厳格なログ、監査、データ処理ルールを持つかもしれない。中堅企業は、内部レスポンダーが不足しているため、プロバイダーが迅速に行動することを望むかもしれない。グローバル顧客は、タイムゾーンを越えた地域承認を必要とするかもしれない。同じプロバイダーサービスが、すべての顧客アクションがインシデント中に一から交渉される場合、経済的に効率的であることはあり得ない。

承認モデルは、侵害時ではなく、オンボーディング中に設計されるべきである。それは、資産、ビジネスオーナー、権限レベル、重大度閾値、通知チャネル、バックアップ連絡先、タイムゾーンカバレッジ、法的レビューポイント、ロールバック要件をマッピングすることを意味する。また、現実的なシナリオでモデルをテストすることも意味する。午前2時に誰が応答するか?主たる承認者が不在の場合どうなるか?プロバイダーは上級幹部が使用するラップトップを隔離できるか?バッチジョブに結びついたサービスアカウントを停止できるか?パートナーサービスを含む IP 範囲をブロックできるか?顧客イベント中にクラウドファイアウォールルールを変更できるか?答えが普遍的であることはめったにない。

ここで、アウトソーシングによる節約が消えうる。オンボーディングは、クレデンシャル設定とツール接続だけではない。それは社会的かつ運用上のマッピングである。プロバイダーは、どのシステムを誰が所有しているか、何が最も重要か、許可なしに触れてはならないものは何か、各オーナーを説得する証拠は何か、どの承認が法的または政治的にデリケートかを学ばなければならない。そのマッピングが不完全であれば、各インシデントは高価な発見作業になる。

日立システムズは、システムインテグレーションがセキュリティを超えた顧客運用を理解する理由を与えるため、利点を持つ可能性がある。しかし、その利点は自動的ではない。インテグレーションチームとマネージドセキュリティチームが現在の知識を共有しなければならない。一方のチームによって実装された変更は、アラートを処理するアナリストに見えなければならない。新しいビジネスアプリケーションは資産モデルに入らなければならない。クラウド移行は、検出とエスカレーションの前提を変えなければならない。プロバイダー自身の内部ハンドオフが弱ければ、顧客ハンドオフも弱くなる。

したがって、承認は直前のメールとしてではなく、サービス設計に属する。プロバイダーは、イベント前に、どのアクションが事前承認されているか、どれが顧客の確認を必要とするか、どの証拠が各層をトリガーするか、ロールバックがどのように検証されるかを言えるべきである。その構造がなければ、マネージドセキュリティはコンサルティングラベル付きの通知サービスになる。

ロールバックは封じ込めの前に計画されなければならない

セキュリティ対応はしばしば封じ込めに焦点を当てる。攻撃者を止め、ホストを隔離し、ドメインをブロックし、アカウントを無効にし、マルウェアを除去し、露出を閉じる。封じ込めは必要だが、顧客はビジネスが既知の良好な状態に戻れるかどうかでプロバイダーを判断する。そのため、ロールバックと復旧はマネージド対応の一部であり、後付けではない。

ロールバックは単に「変更を元に戻す」ではない。いくつかのセキュリティアクションは元に戻すのが容易である。ウォッチリストエントリは削除できる。一時的なブロックは解除できる。ユーザーアカウントは再有効化できる。他のアクションはより困難である。サーバーの隔離はジョブを中断させ、依存関係を破壊するかもしれない。ファイルの削除はアプリケーションを壊すかもしれない。クレデンシャルのリセットは統合を中断させるかもしれない。アイデンティティポリシーの変更はサービスアカウントをロックアウトするかもしれない。エンドポイントの再イメージングはローカル証拠を破壊するかもしれない。急いだクリーンアップは、フォレンジック、法的レビュー、または保険に必要な痕跡を排除するかもしれない。

日本のインシデント対応ガイダンスと国際基準は、いずれも準備、封じ込め、復旧、教訓を関連する段階として扱う。日立システムズにとっての実際的な含意は、推奨されるすべてのアクションにロールバックノートを付けるべきだということである。どの状態が変更されるか?元の状態はどのように記録されるか?どのバックアップまたはスナップショットが存在するか?どのビジネスオーナーが中断を受け入れるか?プロバイダーは証拠を破壊せずに脅威が封じ込められたことをどのように確認するか?アクションが害を引き起こした場合、顧客は何をするか?

これは、複数ベンダーの製品を統合するプロバイダーにとって特に重要である。日立システムズのセキュリティスタックは、エンドポイントツール、ネットワークシステム、アイデンティティプラットフォーム、クラウドコントロール、脆弱性スキャナー、E メール保護、Web サイトセキュリティサービス、および獲得した SecureBrain 機能を含み得る。各ツールは独自のアクションモデルとロールバック動作を持つ。プロバイダーは統一サービスを約束できるが、その下にある環境は依然として複合的である。アナリストは、どのアクションが利用可能かだけでなく、そのアクションが顧客の環境でどのように動作するかを知る必要がある。

ロールバックはまた、顧客がどれだけの権限を委任する意思があるかを決定する。顧客は、隔離が可逆的で範囲が狭いことをプロバイダーが証明できるならば、自動化された隔離を承認するかもしれない。ロールバックが不明瞭ならば、自動化された変更に抵抗するかもしれない。脆弱性修復と統合変更についても同じことが言える。パッチ、構成更新、またはアクセス制御変更は、互換性が理解されていなければ、リスクを減少させるがサービス停止を生み出すかもしれない。プロバイダーの価値は、単により安全な状態を推奨することではない。それは、管理された中断で顧客をそこに到達させることである。

日立システムズにとって、ロールバックの規律は監督コスト方程式の一部である。ロールバックが不確実であるために、顧客がすべての封じ込めアクション中にプロバイダーに付き添わなければならないならば、マネージドサービスはより少ない節約しか生まない。プロバイダーが承認のために十分明確にロールバックをパッケージ化すれば、より多くの信頼を獲得し、次回より速く行動できる。

グループ規模は、顧客コンテキストがエスカレーションを生き残る場合にのみ役立つ

日立システムズの公開資料とより広範な日立のサイバー資料は、SOC 運用、マネージドサービス、コンサルティング、インシデント対応サポートを中心とした、より広範なグローバルセキュリティ能力を指し示している。例えば、Trusted Cyber Management は、グローバルな日立事業とセキュリティオペレーションセンター全体で、マネージドサービスとプロフェッショナルサービスと共に提示されている。この種の規模は助けになり得る。セキュリティ脅威は国境を越え、脅威インテリジェンスは共有された可視性から利益を得、専門家の専門知識は一国または一顧客アカウント内で維持するにはコストがかかる。

危険は、規模がコンテキストを希薄化し得ることである。グローバル SOC はパターンを見て専門家によるエスカレーションを提供できるが、顧客の承認モデル、ビジネスインパクト、ロールバック経路はローカルである。マルウェア専門家はサンプルを正しく分類できるが、特定のサーバーが工場、病院、地方自治体サービスまたは財務クロージングプロセスを支えていることを知らないかもしれない。検知エンジニアは、顧客のレガシーアプリケーション動作を理解せずにルールを調整するかもしれない。地域アナリストは、資産の重要度が古くなっているために、誤った重大度でエスカレーションするかもしれない。

したがって、グループ規模の最善の利用法は階層化である。共通の脅威インテリジェンス、検知エンジニアリング、マルウェア解析、デジタルフォレンジック、製品の専門知識は、ローカルの顧客対応にフィードすべきである。ローカルまたはアカウント固有の知識がアクションを形作るべきである。証拠パッケージは、グローバルシグナルと顧客コンテキストの両方を組み合わせるべきである。この二つが分離されていれば、顧客は一般的な脅威アドバイスか、十分なインテリジェンスのない偏狭な運用のどちらかを受け取ることになる。

これは SecureBrain 合併後に特に関連性がある。SecureBrain の能力は製品レベルおよび脅威レベルの理解を改善できるが、日立システムズはその知識をマネージドサービス運用に結びつけなければならない。フィッシングインテリジェンス、Web セキュリティの発見、またはマルウェア解析が別々の報告チャネルに留まれば、顧客は利益を得ない。対応は首尾一貫していなければならない。キャンペーンが検知され、影響を受ける資産が特定され、影響を受けるユーザーが処理され、ビジネスオーナーに通知され、管理策が調整され、ロールバックが文書化され、予防変更がレビューされる。

規模は経済性にも影響する。より大きな陣容は24時間365日のカバレッジと専門家エスカレーションをサポートできるが、顧客は何らかの形で調整コストを支払う。エスカレーションがハンドオフ遅延を追加したり、繰り返しのコンテキスト説明を要求したりするならば、規模は価値を失う。エスカレーションがより良い証拠とより速い意思決定支援をもたらすならば、規模は差別化要因になる。日立システムズの公的な主張は、より広範な能力へのアクセスを持っていることを立証するが、それらは実際の顧客事例でエスカレーション中にコンテキストがどれだけ生き残るかを証明しない。

それが適切な確信レベルである。同社のポジションは有望だが、自己証明ではない。マネージドセキュリティのバイヤーは、証拠パッケージの例、エスカレーション経路、承認マトリックス、ロールバック手順、アクション後レポートを求めるべきである。グローバルカバレッジを示すロゴスライドよりも、その回答の方が重要である。

顧客固有のインフラが主要な単位コスト変数である

日立システムズにとっての商業的な問いは、アウトソーシングが隠れた調整コストをカバーするのに十分な節約になるかどうかである。セキュリティバイヤーはしばしば、内部 SOC アナリスト、エンジニア、インシデントレスポンダーを採用・維持するコストとプロバイダー料金を比較する。その比較は不完全である。実際のコストには、オンボーディング、データコネクタのセットアップ、ルール調整、資産インベントリ、アイデンティティマッピング、通知ルーティング、法的・コンプライアンスレビュー、報告、定期的な机上訓練、例外処理、ベンダー管理、内部監督が含まれる。

顧客固有のインフラがそれらのコストを駆動する。標準的なアイデンティティ、エンドポイント、ログ、チケッティングツールを備えたクリーンなクラウドファーストの顧客は、セグメント化されたネットワーク、サポートされていないシステム、カスタムアプリケーション、買収された子会社、部分的に展開されたエージェント、一貫性のない命名を持つ組織よりもサービスが容易である。明確な資産所有者がいる顧客は、すべてのエスカレーションが「このシステムを所有しているのは誰だ?」で始まる顧客よりもサポートが安価である。規律ある変更管理を行う顧客は、正当な変更が常にアラートをトリガーする顧客よりも安価である。合意された事前承認アクションを持つ顧客は、日常的な封じ込めに経営陣の承認を必要とする顧客よりも安価である。

日立システムズのシステムインテグレーションの役割は、すでに環境の一部を構築または運用しているため、このコストの一部を削減できる。しかし、それは期待リスクを増大させる可能性もある。プロバイダーが深く関与していれば、顧客はプロバイダーがすべての依存関係を知っていると想定するかもしれない。継続的な文書化とアクセスなしに、すべてを知っているプロバイダーはいない。環境が複雑であるほど、マネージドセキュリティサービスは生きた統合プログラムになる。

誤検知は良い例である。攻撃者が存在しなかったからといって、誤検知は無料ではない。それはアナリストの時間、顧客の注意、証拠レビュー、信頼を消費する。プロバイダーがあまりに多くの弱いアラートをエスカレーションすれば、顧客はそれらを無視し始める。抑制しすぎれば、実際のインシデントが見逃される。調整には顧客のフィードバックが必要である。そのフィードバックループは監督コストの一部である。調整に参加しない顧客は、より悪いサービスを受ける。調整の決定を説明しないプロバイダーは、顧客の信頼を失う。

ツール統合のギャップも同様のコストを生む。検知ルールは、すべてのデバイスで利用可能でないエンドポイントデータを必要とするかもしれない。クラウドアラートは、ログが十分長く保持されていないため、ID コンテキストを欠くかもしれない。脆弱性の発見は、アプリケーション所有者にマッピングされないかもしれない。ネットワーク異常はあるツールでは見えるが別のツールでは見えないかもしれない。日立システムズは統合の専門知識を提供できるが、コネクタの欠落やデータフィールドの不一致が受け入れられる対応の質を低下させる。

したがって、バイヤーはマネージドセキュリティを調達のショートカットではなく、共有運用モデルとして扱うべきである。プロバイダーは内部の専門家の必要性を減らすことができるが、権限、ビジネスの優先順位、リスク選好に関する顧客のオーナーシップを代替することはできない。安価な約束は「我々が監視します」である。より価値ある約束は「我々は、お客様がより速く正しい対応決定を行い、何が起こったかを証明するのを支援します」である。日立システムズの最も強力な主張は2番目の約束であるが、それはまたより労働集約的なものでもある。

自動化は判断を狭めるべきであり、曖昧にすべきではない

セキュリティ自動化と企業ソフトウェア自動化をめぐる制御されたトピックは、日立システムズがアラート処理、統合、運用変更の交差点に位置するため、関連性がある。自動化は、繰り返しのタスクをより信頼性高くする場合に有用である。アラートの正規化、資産コンテキストによるエンリッチ、関連ログの添付、適切な顧客オーナーへのルーティング、トリアージアーティファクトの収集、低リスク封じ込めの適用、タイムラインの作成、決定の記録の保存などである。これらの機能は手動作業を削減し、一貫性を改善する。

自動化は、不確実性を隠すときに危険になる。対応システムは、どの証拠がスコアを動かしたかを示さずに重要度スコアを割り当てることができる。ビジネスインパクトを説明せずに隔離を推奨できる。不足しているテレメトリを覆い隠す洗練されたレポートを生成できる。プレイブックのステップが実行されたという理由で、顧客が復旧を検証していなくてもチケットをクローズできる。多くのケースに誤った分類を拡散できる。マネージドサービスにおいて、顧客の信頼は、推奨を判断するのに十分な証拠チェーンを見ることに依存する。

日立システムズは、自動化を顧客固有の判断の代替ではなく、アナリストサポートレイヤーとして使用するならば、利益を得るはずである。プロバイダーは、フィッシング、エンドポイント侵害、不審なログイン、脆弱性露出、Web 改ざんのための再利用可能なプレイブックを構築できる。承認リクエストとロールバックノートを事前入力できる。証拠が弱いか顧客権限が欠けているケースにフラグを立てることができる。推奨されたアクションが受け入れられたか、拒否されたか、延期されたかの理由を記録できる。これらの記録は将来の調整を改善し、インシデント後レビューを容易にする。

ロックインの問題は自然に続く。顧客が日立システムズを監視、対応、チケッティング、アイデンティティ、エンドポイント、統合プロセスに埋め込むと、プロバイダーの切り替えはコストがかかるようになる。マネージドセキュリティはコンテキストに依存するため、ある程度のロックインは避けられない。リスクは単なるベンダー依存ではなく、文書化されていないベンダー依存である。プレイブック、証拠モデル、承認マトリックス、ロールバック手順がプロバイダーシステム内にしか存在しない場合、顧客は可視性なしに依存することになる。プロバイダーがそれらを明確に文書化し、十分な構造を共有すれば、顧客はアウトソーシングしながらも継続性を得る。

ここで、ソフトウェアライフサイクル経済学がセキュリティ議論に入る。セキュリティ運用は、ツールが更新され、攻撃者が適応し、クラウドサービスが移行し、規制が進化するにつれて変化する。プレイブックはソフトウェア的な資産である。それらはメンテナンス、テスト、バージョン管理、レビュー、廃止を必要とする。プレイブックを静的な文書として扱うマネージドセキュリティプロバイダーはずれが生じる。それらを生きた運用コードとして維持するプロバイダーは価値を生み出せるが、顧客は誰が変更をレビューするか、例外がどのように処理されるか、プロバイダーがプレイブックが顧客の環境に適合し続けていることをどのように証明するかを尋ねるべきである。

日立システムズの公開情報は、そのレベルの自動化成熟度を判断するのに十分な実装詳細を公開していない。正しい結論は条件的である。自動化は規模のためにおそらく必要だが、受け入れられる対応には透明な自動化が必要である。より速いブラックボックスでは不十分である。

監督コストが商業的結果を決定する

セキュリティのアウトソーシングの商業的根拠は魅力的である。なぜなら、内部のセキュリティ運用は人員確保と維持が難しいからである。プロバイダーは、24時間体制のカバレッジ、より広範なツール経験、専門家へのアクセス、反復可能なプロセスを提供できる。多くの組織にとって、それは完全な内部 SOC を構築するよりも現実的である。日立システムズの売り込みはその市場ニーズに合致する。

対抗力は監督コストである。顧客は依然として、リスクを所有し、アクションを承認し、例外をレビューし、連絡先を更新し、調整に参加し、レポートを検討し、ビジネスインパクトを処理し、復旧をテストする担当者を必要とする。また、プロバイダーを監督し、契約を管理し、サービス品質を確認し、プロバイダーの推奨をビジネス上の決定に翻訳する内部スタッフも必要になるかもしれない。顧客がこの作業を過小評価すると、不満が生じる。

監督コストは、証拠の質が低く、権限が不明確で、ツールが不十分に統合されているか、顧客環境が不安定な場合に最も高くなる。オンボーディングが徹底しており、検知コンテンツが調整され、資産コンテキストが最新で、承認層が合意され、ロールバックがリハーサルされている場合、それは低くなる。同じプロバイダーでも、顧客の運用成熟度が異なるため、ある顧客には費用対効果が高く、別の顧客には苛立たしいものになり得る。

これは、日立システムズのバイヤーは、価格とカバレッジだけを尋ねるべきではないことを意味する。彼らは、顧客側にどのような作業が残るかを尋ねるべきである。オンボーディング中に何回の会議が必要か?資産インベントリはどのように調整されるか?どのログが必須か?テレメトリソースに障害が発生した場合どうなるか?誤検知はどのようにレビューされるか?プレイブックはどのくらいの頻度でテストされるか?破壊的なアクションを承認するのは誰か?レポートはエグゼクティブ、監査人、エンジニア向けにどのように調整されるか?サービスのどの部分が製品依存か?どの SecureBrain 機能が含まれ、どれが別個の製品またはオプションサービスか?顧客は運用知識を失うことなくどのように脱退できるか?

これらの質問は敵対的ではない。それらは価値を定義する。具体的なプロセス、例、証拠をもってそれらに答えられるプロバイダーは、実際にコストを節約する可能性がより高い。一般的なカバレッジ言語で答えるプロバイダーは、技術的には能力があるかもしれないが、バイヤーは監督コストを見積もることができない。

日立システムズの最も強力な商業的ポジションは、セキュリティ運用と統合支援の両方を必要とする顧客とともにある。安価なアラート転送サービスだけを望む顧客は、よりシンプルなプロバイダーを見つけるかもしれない。複雑なインフラ、日本語サポートの必要性、グループシステム依存、クラウド移行、レガシーシステム、公共セクターの承認要件を持つ顧客は、統合と運用を理解するプロバイダーを評価するかもしれない。課題は、そのような顧客はまたサービス提供に費用がかかることである。マージンは、顧客コンテキストを平坦化することなく、繰り返しのタスクを反復可能な対応パターンに変えることにかかっている。

主張をより強固にするもの

公開証拠は、日立システムズがマネージドセキュリティ対応のための信頼できる基盤を持つと言うのに十分である。同社が大規模に受け入れられる対応を証明していると言うには十分ではない。より強力な証拠には、エンドツーエンドの事例の匿名化された例が含まれるだろう。アラート、証拠、承認層、アクション、ロールバック、検証、教訓である。それには、集計された主張だけでなく、サービスタイプと顧客権限モデル別に分離された対応指標が含まれるだろう。それには、技術的および非技術的オーナー向けに証拠がどのようにパッケージ化されるかを示すサンプルレポートが含まれるだろう。それには、SecureBrain の能力が、単に横に売られるのではなく、マネージド対応にどのように統合されているかの説明が含まれるだろう。

バイヤーはまた、失敗したまたは延期されたアクションの証拠を探すべきである。成熟したプロバイダーは、いつ行動しないかを説明できる。高信頼度の侵害と、疑わしいが無害な行動を区別できる。どのテレメトリが欠落しており、それがどのように信頼度を制限するかを言うことができる。封じ込めが時期尚早である場合に、待機、監視、またはさらなる証拠収集を推奨できる。顧客がアクションを拒否した理由と、どのような補償的管理策が適用されたかを文書化できる。その種の抑制は品質の一部である。

テストも重要である。机上訓練、模擬フィッシング対応、エンドポイント隔離訓練、クラウドアカウント侵害シナリオ、ロールバックリハーサルは、ハンドオフが機能するかどうかを明らかにする。それらは、実際のインシデントの前に、時代遅れの連絡先、曖昧な権限、欠落したログ、弱い復旧前提を露呈する。日立システムズがそのような訓練をサービスモデルに含めるならば、それは受け入れられる対応の主張を強化するだろう。訓練がオプションであるか稀であるならば、顧客はそれら別個に予算を組むべきである。

同社はまた、より明確な公開境界言語から利益を得るだろう。日立システムズ、親会社の日立サイバー能力、SecureBrain 製品、海外グループ SOC、および顧客所有システムは同じものではない。公開資料は理解できるほどに幅広いグループ能力を提示するが、バイヤーはどの法人、サービスデスク、SOC、製品チーム、エスカレーション経路が自分たちの案件を処理するかを知る必要がある。境界の明確さは、調達中およびインシデント中の混乱を減らす。

最後に、プレイブックメンテナンスの証拠があれば、経済性の評価がより容易になるだろう。顧客プレイブックはどのくらいの頻度でレビューされるか?顧客の変更はどのように検知されるか?自動化ステップはデプロイ前にどのようにテストされるか?プロバイダーはどのようにして古い承認マトリックスを防ぐか?例外はどのように廃止されるか?マネージドセキュリティは静的な契約ではない。それは運用上の関係である。そのメンテナンス規律の公的な証明は、日立システムズを信頼できるものから、より実証的に強力なものへと移行させるだろう。

測定された評決

日立システムズは、適切な隣接能力を持っているため、マネージドセキュリティにおいて真剣に受け止められるべきである。システムインテグレーション、マネージドサービス、セキュリティ監視、インシデントサポート、脆弱性評価、製品統合、SecureBrain 由来のセキュリティ専門知識である。同社はまた、日本の企業や公共セクター組織が、インフラ、サポートプロセス、正式な承認規範にわたって作業できるプロバイダーをしばしば必要とする市場で事業を展開している。

しかし、同社の真のテストは、より多くのセキュリティ能力を説明できるかどうかではない。それは、繰り返しのアラートと統合変更を、受け入れられるマネージド対応に変換できるかどうかである。それには、一貫した証拠、最新の顧客コンテキスト、明確な承認権限、制御されたロールバック、アクション後の検証、自動化の規律ある監督が必要である。これらは脅威インテリジェンスや SOC カバレッジよりもマーケティングが難しいが、アウトソーシング後に顧客が負担軽減を感じるかどうかを決定する。

公開情報は肯定的だが限定された見方を支持する。日立システムズは、統合とサポートに結びついたセキュリティ運用を必要とする顧客にとって、構造的に良い位置にあるように見える。SecureBrain の合併は能力基盤を強化する。より広範な日立のサイバーリソースは、専門家エスカレーションとグローバルカバレッジを改善するかもしれない。しかし、顧客固有の環境全体での対応品質を証明する公開証拠はなく、誤検知率、封じ込め速度、ロールバック成功率、顧客受入率を確立する公開指標もない。

バイヤーの質問はしたがって実践的であるべきだ。プロバイダーの作業を顧客がやり直すことを強いることなく、対応のどのくらいが事前承認され、証拠付けられ、可逆的で、検証され得るか?日立システムズがその質問に、顧客固有のプレイブックと強力な証拠パッケージで答えられるならば、そのマネージドセキュリティサービスは真の価値を生み出すことができる。それができなければ、顧客はより多くのアラート、より多くのツール、より多くの会議を受け取るかもしれないが、リスクの比例的な減少は得られない。

それが冷静な枠組みである。日立システムズは、価値があるために最大のサイバーセキュリティの名前である必要はない。マネージド対応を受け入れ可能にする必要がある。セキュリティ運用において、受け入れられるアクションは、サービスが現実となる場所である。