契約しているだけでは守れない!セキュリティサービスを“使いこなす”ために知っておきたいこと

契約していたのに、なぜ…?

MDR(Managed Detection and Response)やSOC(Security Operation Center)といった、外部の専門家が提供するセキュリティサービスを導入しているのに、実際にランサムウェア被害に遭ってしまったという話を耳にすることがあります。

ありがちな例:

  • 「契約していたのに被害に遭った!」
  • 「アラートが出たのに、自社で対応させられた」
  • 「収束までに時間がかかりすぎた」
  • 「“もう大丈夫”と言われたけど根拠が不明で不安」

こうした話を聞くと、「世の中にはそんな対応の悪いセキュリティサービスベンダーが存在するのか・・・」と考えてしまうかもしれません。ですが…

◆ 実は、“利用者側の落ち度”も存在する

こうしたトラブルの原因すべてが、必ずしもベンダー側にあるとは限りません。
もちろん、ベンダー側(もしくはベンダーの担当者側)に非がある場合もありますが、
契約内容の理解不足や、そもそもの費用設定のミスマッチが、期待とのギャップを生んでいる場合もあります。

たとえば、

❌「MDR契約してるから、攻撃が来たら全部対処してくれるはず」
⭕「MDR契約してるけど、実際に対応するのは自社。MDRは“検知と助言”だけ」

という認識の違いがトラブルを生みます。

契約内容に入っていないことまで、契約しているのだからやってくれるはず、また、やるのが当然と思ってしまっているといった”利用者側の落ち度“がトラブルの原因ということもあるのです。

◆ ”お客様に寄り添います”という言葉を鵜呑みにしてはいけない

営業文句として「お客様に寄り添います」といったセリフを耳にすることも多いと思いますが、これは無条件で何でもやってくれるということではありません。

商売である以上、お客様に寄り添うと言っても、それは「契約内容の範疇で」であり、ベンダー側には、必要な対価も無しに、自己犠牲を払ってまでお客様のために尽くす義務も理由もありません。

世知辛い話ですが、ランサムウェア被害に遭って会社が潰れそうでも、セキュリティベンダーからはえげつないほどの対価を要求され、対価が得られない、自社にとって利がないとなれば容赦なく見捨てられる。それが現実です。

契約の範疇を超えた対応を期待すること自体がそもそも間違いであり、ベンダー側が「お客様に寄り添ってできる限りの対応をします」と言っても、それを自分の都合の良いように解釈してはいけません。

「できる限りの対応」とは、「契約の範囲でできる対応」でしかないのです。

◆ 契約内容を「自分ごと化」できていますか?

セキュリティサービスは、契約内容に応じて対応範囲が厳密に定められているものがほとんどです。
そのため、以下の確認をしていないと、“してもらえると思っていたのにしてもらえなかった”という事態になります。

✅ 確認しておくべきポイントの例

確認事項
どこまでがベンダーの対応範囲か?アラート通知のみ?リモート対応まで含まれる?
緊急時の初動対応の責任は誰にあるのか?自社?ベンダー?
インシデント収束後のフォローアップは?再発防止策の支援まである?
安全宣言の基準や根拠は?ログ調査のみ?システムスキャンまで含む?

◆ 「契約さえしていれば安心」は危険な思い込み

セキュリティサービスはあくまで「外部の専門家が協力してくれる仕組み」であり、**運用主体は基本的に“自社”**です。
つまり、以下のようなスタンスが必要です。

  • 「自社のセキュリティチームの一部として活用する」
  • 「やってほしいことは、契約前に明確に伝える」
  • 「お任せする範囲には、それ相応のコストがかかる」

セキュリティサービスはボランティアでは無いので、提供するサービスには全て”対価”が存在します。
対価を支払うことで、初めてその対価に応じたサービスが提供されます。

やって欲しいことに見合う対価を支払うことができないのであれば、サービスが提供されなくてもそれは仕方の無いことです。やってもらえないことは自社でやるしかありません。

「そんなの常識だろ(費用に含まれるのが当たり前だろう)」という話で揉めるケースは世間ではよくある(裁判沙汰にまで発展しているケースも数え切れないほどある)ことですが、”相手の常識も自分の常識と同じと考えてはいけない”というのは常に念頭に置いておくべきです。

◆ 本当に必要なことを、きちんと契約していますか?

サービスを導入する際は、「契約して終わり」ではなく、何をしてほしいのかを明文化し、期待値をすり合わせることが何より大切です。

特に、以下のようなケースでは要注意です:

  • 「とりあえず安いプランで契約した」
  • 「営業担当の説明だけで契約してしまった」
  • 「自社の体制・体力に見合わないサービスだった」

自分のあたりまえは相手にとってもあたりまえとは限りません。

「そんなこと当たり前だろう」と自分が思うようなことも、必ず明文化して確かめ、ベンダーとの間で言質を取ることが、いざという時のトラブルを避けるコツです。

そしてこれは、契約しようとしている相手が良い相手か悪い相手かを見極める方法でもあります。

◆ セキュリティサービスは“道具”。使いこなすのはあなた次第

セキュリティサービスは魔法の盾ではありません
正しく使えば強力な防御手段になりますが、誤った期待や理解不足では、逆にトラブルの種にもなりかねません。

ぜひこの機会に、自社が本当に必要としている支援内容と、現在の契約内容が一致しているか、改めて確認してみてください。

そして、これは標的型攻撃メール訓練を業者に外注する際にも当てはまることです。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示