脅威の検出・通知、封じ込めに対応する「Sophos MTR」日本語版

ソフォスは3月22日、脅威ハンティング・検出・対応を24時間365日体制で行うフルマネージドサービス「Sophos Managed Threat Response」(Sophos MTR)」の日本語版の提供を発表した。

「Sophos Managed Threat Response」の概要

「Sophos Managed Threat Response」のサービス開始の流れ

同社は2019年10月より同サービスのインターナショナル版を提供してきたが、4月25日よりソフォスの東京データセンターを活用して、日本語にローカライズされたサービスの提供を開始する。提供価格は販売パートナーへ要問い合わせとなるが、ソフォスは参考価格を示した。同社製品を初めて導入する新規顧客の場合は、752万9600円 (2万3000円×300 ユーザー、6万2960円×10サーバーで1年利用した場合の試算)になるという。

Sophos MTRは、「Intercept X Advanced with XDR」を活用したセキュリティ運用・管理サービスだ。機械学習とソフォスの脅威アナリストによる分析を組み合わせてサイバー攻撃の脅威ハンティングと検出を行い、脅威ハンター、エンジニア、ホワイトハッカー、SOCスペシャリストなどから構成されるソフォスのMTRチームがリモートで脅威の阻止、封じ込め、無力化などの対応まで実施する。

同日に開催された記者説明会には、セールスエンジニアリング本部シニアセールスエンジニアの杉浦一洋氏が登壇した。

ソフォスセールスエンジニアリング本部シニアセールスエンジニア杉浦一洋氏

杉浦氏は、「脅威を見つけた際に顧客への通知に留まるサービスが多いが、本サービスでは当社の専門チームが脅威の除去・中和を実施し、お客さまへ報告する。運用サービスの購入にあたっては最低ライセンス数の制限を設けていないので、1ライセンスから購入可能だ。また、インシデント対応もサービスに含まれている」とサービスの特徴を説明した。

Sophos MTRの対応範囲はソフォスのエンドポイント向けソリューション「Interxet X」の設定部分と、同ソリューションで管理している環境となる。そのため、Interxet Xで管理するエンドポイントやサーバーの設定変更、リモート操作などは行えるが、「Windowsアップデートはお客さまに依頼する形での対応となる」と杉浦氏。

同サービスでは、24時間365日の脅威ハンティング、脅威への対応実施、敵対的攻撃の検出、セキュリティ状態のチェック、アクティビティレポートの発行といった標準機能のみ利用可能な「Sophos MTR Standard」と、標準版に機能を追加した「Sophos MTR Advanced」を提供する。

「Sophos MTR Standard」の提供サービス

「Sophos MTR Advanced」では、リードレス(手掛かりなし)脅威ハンティング、ソフォスの他製品やサードパーティ製品からのテレメトリ、システム体制の改善・防御強化の提案、専任の脅威対応担当者のアサイン、インシデントの有無に関わらず疑問点・不明点を電話で質問できるダイレクトコールインサポート、ITアセットの脅威防止に対する継続的なアドバイスなどを利用できる。

「Sophos MTR Advanced」で追加利用できるサービス

また、MTRチームによる脅威対応の詳細については、「通知」「共同対処」「承認」の3つのレスポンスモードからユーザーが選んで、あらかじめ設定できる。

「通知」は従来のSOCサービスと同様、検出した脅威の通知と必要な対策の連絡までを実施する。「承認」では、脅威の封じ込め、除去、エンドポイントやサーバーの中和化をソフォスで実施し、実行したアクションについて顧客にメール(英語)で事後報告する。「共同対処」では、脅威を検出する度に、ユーザーによる対応かソフォスに対処を依頼するかなどを決める。

レスポンスモードが「通知」、「共同対処」の場合は海外のMTRチームから電話連絡(英語)が入るが、4月から提供開始する日本語版では、脅威検知時には日本語翻訳サービスによる三者間通話を実施し、脅威インシデントの通知や、検知後の対応を日本語でやりとり可能だ。インシデントが発生した緊急時にはレスポンスモードに関わらず、日本語での三者間通話を行える。