カスタマイズできるアウトソーシング“クエストマネージドセキュリティサービス(Q-MSS)”

「もともと今回のリプレイスの検討を始めたのは約1年半前の2015年になります。その当時導入していたサービスの契約更新が残り1年となったこともあり、それを契機にセキュリティ対策全体を見直す機運が社内で高まりました。世間的にもさまざまなセキュリティ関連の事件や事故が発生していて、情報収集を進めていました。

まず手始めにWAFを導入し対策を強化したものの、当時導入していたファイアウォールと合わせてもカバーできないレイヤーもありました。より強固な対策を引き続き検討している中で参加したのが、クエストさんのセキュリティに関するセミナーでした。」と株式会社ワイ・ディ・シー情報・品質管理本部の田村俊介氏は当時を振り返る。

当時はこれまでの「リスト型」から「標的型」の手法による攻撃が増大するなど、セキュリティ対策が大きな曲がり角に差し掛かっていた状況。2015年11月にマカフィー株式会社が発表した「2015年の10大セキュリティ事件ランキング」でも標的型の事件が数多くランクインしており、クエストが開催したセミナーもこうした世間の動向を受けて実施したものだった。

セミナーへの参加をきっかけにワイ・ディ・シーはクエストの脆弱性に関する無料診断を実施。その結果、諸外国からのランダムな攻撃の形跡が見つかるなど、これまで見過ごされてきた事象が可視化される診断となった。緊急性が高いリスクではないものの、長期的な視点を考慮し、先手を打っておく必要があるという判断に至り、ワイ・ディ・シーでは次世代型サービスの検討を始めた。

クエストが提供するセキュリティアウトソーシングサービス「Q-MSS」は一般的なセキュリティのアウトソーシングサービスと異なり、導入先の要望に応じてメニューをカスタマイズすることができるのが大きな特徴だ。ワイ・ディ・シーの場合、24時間監視は業態的にもオーバースペックとなるため、メニューから外している。

一方で、危険なアクセスの兆候などを検知した際には、業務時間外でも対応するなど、柔軟性を持たせている。
また、月次で提出するレポートは予算に応じて不要な項目を除外できる点がポイントとなっている。提出するレポートはクエスト内でまず精査し、セキュリティの懸念点が見つかった際はその都度導入先に報告と合わせてその対策を提案している。

例えば、レポートをもとに設定期間内の開放しているポートの動向をチェック。対策が必要な場合はチューニングを提案し、導入先はその提案内容について必要性の判断をすることになる。

今回のワイ・ディ・シーのケースでは、サービス自体に慣れてもらうことも兼ね、導入直後からしばらくの間、細かい報告をおこなった。しかし、ワイ・ディ・シーでは部署の所属人員が少人数のため、細かい報告は担当者の業務増に直結しかねない。そこで、導入からしばらく経過し、傾向が見えてきたタイミングを見計らい、大きなトピックが生じない限り、レポートのみ提出する、という運用に変更した。

ワイ・ディ・シーでは今回のリプレイスから半年が経過。月次のレポートを通して新たな課題が浮かび上がってきている。セキュリティリスクとしては低いものの、経営上あまり好ましくない状況であるため、クエストではその解決策を提案している。ほかにも、同時並行で進めているネットワーク機器のリプレイスなど、ワイ・ディ・シーからの相談範囲は着々と広がりつつある。

「サービス導入からまだ半年あまりではあるものの、これまでのサポートには非常に満足しています。ほかの分野でも同レベルのサービスを提供頂けるだろうという期待から社内での横展開につながっています。サポートのような人ありきの部分は実際に導入して一緒にやってみない限り、良し悪しは判断がつきません。

セキュリティという知識やノウハウの移り変わりが激しいシビアな分野で、私たちに寄り添ってサポートをして頂いたことは大きな信頼へと繋がっています。今後も引き続き、高いレベルでのサービス提供を望んでいます。」と松島氏からはクエストとの今後の展開に対し、期待の言葉を寄せて頂くことができた。クエストとしても、ワイ・ディ・シーのビジネスが安定して成長していくように、業務領域の拡大に合わせてさらなる体制の整備を進めている。

取材日：2019年9月11日