![[アップデート] AWS MSSP Level1コンピテンシーが改定!『AWS MSSP コンピテンシー』という名称になりました](https://devio2024-media.developers.io/image/upload/v1750298458/user-gen-eyecatch/ltgowjz1u3q4sgz7wyzm.jpg)
[アップデート] AWS MSSP Level1コンピテンシーが改定!『AWS MSSP コンピテンシー』という名称になりました
2025.06.19あしざわです。
米国東海岸で開催されているAWS re:Inforce 2025 に現地参加しています。
re:Inforce 2025 の Keynoteにて、『マネージドセキュリティサービスプロバイダー (MSSP) コンピテンシーの更新』が発表されました。
このブログでは、新しくなったMSSPコンピテンシーの概要と旧バージョンとの差分について紹介します。
概要
AWSコンピテンシープログラムとは
AWSコンピテンシープログラムは、特定の業界、ユースケース、ワークロードにおいて 深い技術的専門知識と実証されたカスタマーサクセス を持つAWSパートナーを特定・検証する認定制度です。
コンピテンシープログラムには、118以上のAWSスペシャライゼーションが存在し、大きく3つのカテゴリーに分類されます。
- 業界別コンピテンシー
- Healthcare(ヘルスケア)、Financial Services(金融サービス)、Retail(小売)など
- ユースケース/ソリューション別コンピテンシー
- Security、Migration and Modernization、DevOps、Data & Analytics、Machine Learningなど
- ワークロード別コンピテンシー
- Microsoft Workloads on AWS、SAP、Industrial Software(産業用ソフトウェア)、Internet of Things(IoT)など
これまでのMSSPコンピテンシー(Level1 MSSP)
MSSPコンピテンシーはこれまで、AWS Level 1 MSSP コンピテンシーという名称でした。
Level1 MSSP コンピテンシーは、24時間365日のセキュリティ保護と監視をフルマネージドサービスとして提供するパートナーを認定する、2021年に開始された比較的新しいコンピテンシーです。
コンピテンシーに認定されたパートナーは、以下の各分野の要件を満たすサービスを提供しています。
- 脆弱性の管理
- クラウドセキュリティのベストプラクティスとコンプライアンス
- 24 時間 365 日体制の脅威の検出と対応
- ネットワークセキュリティ
- データプライバシーイベント管理
- デジタルフォレンジックインシデントへの対応
先述したAWSコンピテンシープログラムのページ上では「ユースケース」のカテゴリに属しています。
参考までに、旧バージョンのコンピテンシーの概要サイトには、日本語版サイトでのみアクセスできます(2025年6月18日現在)※参考リンク
![[CleanShot 2025-06-18 at 05.22.31@2x.png]]
以前のLevel1 MSSPでは10カテゴリある必須要件を全て満たし、任意で専門家オプションを満たすことを求められました。詳しくは以下です。
- 必須要件(Baseline Requirements)
- 一般要件(GEN)
- 一時的な認証情報の使用
- IAMポリシーガイダンス
- マルチアカウント・リソース対応
- セキュリティ調査結果の配信
- 脆弱性スキャン(VULN)
- EC2、コンテナの脆弱性スキャン
- リソース可視性(INV)
- AWSリソースインベントリの表示・収集
- ベストプラクティス監視(BES)
- AWS設定のセキュリティ監視
- コンプライアンス監視(COM)
- CIS、HIPAA、ISO等の継続監視
- セキュリティイベント対応(EVT)
- 24/7トリアージ・修復ガイダンス
- DDoS対策(DDOS)
- レイヤー3,4,7攻撃からの保護
- 侵入防止(IDP)
- ネットワーク・ホストレベルの脅威検出
- エンドポイント保護(MEDR)
- マルチOS対応のEDR機能
- WAF管理(WAF)
- OWASP Top 10対応、ルール作成支援
- 一般要件(GEN)
- 専門家オプション(Specialization Options)
- モダンコンピューティング(MODC)
- コンテナセキュリティ
- アプリケーションセキュリティ(AST)
- コードレビュー、RASP、ペネトレーション
- データプライバシー(DPEM)
- データ分類、DLP、マルウェアスキャン
- ID行動監視(IDBM)
- アクセス管理、異常検知、MFA
- 事業継続性(BCRR)
- ランサムウェア対策、災害復旧
- デジタルフォレンジック(DFIR)
- インシデント調査、証拠収集
- モダンコンピューティング(MODC)
※旧MSSPのサイトにアクセスできないため、公開されたエビデンスはなしです。2022年頃に情報として保存していたものをベースに記載しています。
新しくなったMSSPコンピテンシー
そんなLevel1 MSSPコンピテンシーが、今回のre:Inforceで発表されたアップデートで「AWS MSSP Competency」として生まれ変わりました。Level2にはなりませんでした。
英語版のサイトでは、新しいバージョンのサイトに切り替わっています。 ※参考リンク
![[CleanShot 2025-06-18 at 05.37.11@2x.png]]
コンピテンシーを取得するための自己評価チェックリスト(Validation checklist, VCL)が準備されており、Web上で公開されています。以下リンクを参照ください。
詳細についてはリンクをご覧いただきたいですが、アップデート紹介を目的としているこのブログでは、主にパートナーが技術的に満たすことを求められる要素を中心に紹介します。※別途AWSパートナーとしての必須要件など前提条件がありますが、あまり触れません
技術的な要件として、12のコアMSSP要件(Core MSSP Requirements)をすべて 満たし、 7つの専門セキュリティ分野(Specialized Security Expertise)の内1つ を満たすことが必要なようです。
- コアMSSP要件
- CORE-001: 継続的セキュリティ監視と対応
- 24時間365日の包括的セキュリティ監視・インシデント対応能力を実証
- (例)
- AWS SRAフレームワークサービス(GuardDuty、Security Hub、Inspector、Trusted Advisor)との統合
- オンコール インシデント対応体制
- CORE-002: マルチアカウント セキュリティ管理
- AWS Organizationsを使用した複数AWSアカウントのセキュリティ管理
- (例)
- 管理アカウント セキュリティ制御
- セキュリティガードレール用のSCPとRCP
- カスタマイズされたアカウント プロビジョニング用Account Factory
- CORE-003: ログ管理
- 包括的ログ管理機能の提供
- (例)
- AWSサービスログ設定(CloudTrail、CloudWatch Logs、VPC Flow Logs):
- Log Archive アカウントへのログ集約
- CORE-004: AWSアクセス管理
- AWSアカウントの安全なアクセス管理
- (例)
- IAM ポリシー管理
- 多要素認証(MFA)の強制
- 一時的な認証情報の使用
- CORE-005: リソースインベントリと設定管理
- AWSリソースのインベントリと設定管理
- (例)
- AWS Configを使用した自動リソース発見
- リソース設定追跡
- セキュリティ監視のための基本的なAWS Config rules
- CORE-006: AWSセキュリティベストプラクティス
- 基本的なAWSセキュリティベストプラクティスの実装
- (例)
- AWS Security HubでのAWS FSBPの実装
- Well-Architectedフレームワーク セキュリティの柱実装
- AWS SRAフレームワークへの準拠
- CORE-007: コンプライアンス監視
- コンプライアンス監視機能
- (例)
- 最低2つの業界フレームワーク監視(PCI DSS、HIPAA、ISO 27001、SOC 2、GDPR等)
- AWS制御へのコンプライアンス要件のマッピング
- 非準拠リソースの修復ガイダンス
- CORE-008: 継続的セキュリティポスチャ改善
- 顧客セキュリティポスチャの継続的向上
- (例)
- 顧客セキュリティ指標とKPI追跡
- 定期的な顧客セキュリティ評価
- セキュリティサービス強化
- CORE-009: AWSセキュリティトレーニング・認定
- AWSセキュリティ専門知識の維持
- (例)
- 最低2名のAWS Security - Specialty認定者
- 最低3名のAWS Certified Solutions Architect - Professional認定者
- 最低5名のAWS Solutions Architect - Associate認定者
- CORE-010: マルチクラウドサポート
- マルチクラウド環境でのセキュリティ管理サポートを提供する場合の要件
- CORE-011: 必須AWSサービス専門知識
- 以下のAWSセキュリティサービスでの実証された専門知識
- Security Hub、GuardDuty、Inspector、Security Lake
- Organizations、IAM、Config、Systems Manager、Audit Manager
- CloudWatch、CloudTrail、EventBridge、S3
- 以下のAWSセキュリティサービスでの実証された専門知識
- CORE-012: オプションAWSセキュリティコンピテンシーISVソリューション
- 第三者ISVオファリングの活用による差別化
- SIEM、CSPMなど
- 第三者ISVオファリングの活用による差別化
- CORE-001: 継続的セキュリティ監視と対応
- 専門セキュリティ分野
- A. インフラストラクチャセキュリティ
- ネットワーク保護、ネットワークセキュリティ(DDoS保護・ネットワーク脅威検知ブロックなど)、ネットワーク分離
- B. ワークロードセキュリティ
- ワークロード保護(EDR)、クラウドネイティブセキュリティ(コンテナ保護)、
- C. アプリケーションセキュリティ
- SAST、DAST、SCAなどのセキュリティテスト、ランタイム保護、DevSecOpsなど
- D. データ保護
- データセキュリティ、AI/MLセキュリティ、データコンプライアンスなど
- E. ID・アクセス管理
- アクセス管理、特権アクセス、IDセキュリティなど
- F. インシデント対応
- 準備、検知・分析、封じ込め・根絶・復旧など
- G. サイバー復旧
- 復旧計画、レジリエント アーキテクチャ、ランサムウェア復旧、インシデントシミュレーション、
- A. インフラストラクチャセキュリティ
新旧MSSPコンピテンシーを比較してみる
ここまで新MSSPコンピテンシーと旧MSSPコンピテンシー(Level1 MSSP)の概要を見てきました。
ここからはそれぞれのコンピテンシーを比較します。
大きな変化としては、旧MSSPでは必須項目のみをすべて満たすだけでしたが、新MSSPでは「必須項目すべて+専門分野1つ以上」を満たすように変更されました。
求められる要件やレベルが以前より上がっていますね。
以降は各項目ごとの詳細を見ていきます。
まず必須要件を比較したものがこちらです。
| 分野 | 旧MSSP(必須要件) | 新MSSP(コア要件) | 変更内容 |
|---|---|---|---|
| アクセス管理 | GEN: 一時的な認証情報の使用、IAMポリシーガイダンス | CORE-004: AWSアクセス管理(IAMポリシー管理、MFA強制、一時的認証情報使用) | より包括的なアクセス管理要件に拡張 |
| マルチアカウント | GEN: マルチアカウント・リソース対応 | CORE-002: マルチアカウント セキュリティ管理(Organizations使用、SCP・RCP、Account Factory) | AWS Organizationsを中心とした体系的な管理に強化 |
| 脆弱性管理 | VULN: EC2、コンテナの脆弱性スキャン | CORE-011: 必須AWSサービス専門知識(Inspector含む) | AWS Inspectorを中心としたサービス統合型アプローチ |
| リソース管理 | INV: AWSリソースインベントリの表示・収集 | CORE-005: リソースインベントリと設定管理(AWS Config活用) | AWS Configを活用した自動化・追跡機能を強化 |
| ベストプラクティス | BES: AWS設定のセキュリティ監視 | CORE-006: AWSセキュリティベストプラクティス(Security Hub、Well-Architected、SRA) | フレームワーク準拠を明確化 |
| コンプライアンス | COM: CIS、HIPAA、ISO等の継続監視 | CORE-007: コンプライアンス監視(最低2つの業界フレームワーク、修復ガイダンス) | より具体的な要件と修復機能を追加 |
| 監視・対応 | EVT: 24/7トリアージ・修復ガイダンス | CORE-001: 継続的セキュリティ監視と対応(24/7監視、AWS SRAサービス統合) | AWS SRAフレームワークとの統合を明確化 |
| 調査結果配信 | GEN: セキュリティ調査結果の配信 | (CORE-001に統合) | 監視・対応機能に統合 |
| ログ管理 | (明示的要件なし) | CORE-003: ログ管理(包括的ログ管理、CloudTrail・CloudWatch・VPC Flow Logs、Log Archive) | 新規追加 |
| 継続的改善 | (明示的要件なし) | CORE-008: 継続的セキュリティポスチャ改善(KPI追跡、定期評価、サービス強化) | 新規追加 |
| 認定・トレーニング | (明示的要件なし) | CORE-009: AWSセキュリティトレーニング・認定(Security-Specialty 2名、SA-Pro 3名、SA-Associate 5名) | 新規追加 |
| マルチクラウド | (明示的要件なし) | CORE-010: マルチクラウドサポート | 新規追加 |
| ISVソリューション | (明示的要件なし) | CORE-012: オプションAWSセキュリティコンピテンシーISVソリューション(SIEM、CSPM等) | 新規追加 |
| AWSサービス知識 | (分散) | CORE-011: 必須AWSサービス専門知識(Security Hub、GuardDuty、Inspector等11サービス) | 体系化・明確化 |
以下の項目は新旧変わらず存在していますが、詳細の要件が拡張・強化・明確化されたように見えます。
- アクセス管理
- マルチアカウント
- 脆弱性管理
- リソース管理
- ベストプラクティス
- コンプライアンス
- 監視・対応
- 調査結果配信
以下が 新MSSPの方で 新設の項目として追加 されています。
- ログ管理
- 継続的ポスチャ改善
- トレーニング認定
- マルチクラウドサポート
- ISVソリューション
- AWSサービス専門知識
続いて、専門分野要件の比較です。
| 分野 | 旧MSSP | 新MSSP | 変更内容 |
|---|---|---|---|
| インフラ・ネットワーク | DDOS(必須): DDoS対策 IDP(必須): 侵入防止 |
A. インフラストラクチャセキュリティ(選択): ネットワーク保護、DDoS保護、ネットワーク分離 | 必須→選択に変更、統合 |
| ワークロード保護 | MEDR(必須): マルチOS対応EDR MODC(選択): コンテナセキュリティ |
B. ワークロードセキュリティ(選択): EDR、コンテナ保護、クラウドネイティブセキュリティ | 必須→選択に変更、統合拡張 |
| アプリケーション | WAF(必須): WAF管理、OWASP Top 10対応 AST(選択): コードレビュー、RASP、ペネトレーション |
C. アプリケーションセキュリティ(選択): SAST、DAST、SCA、ランタイム保護、DevSecOps | 必須→選択に変更、DevSecOps強化 |
| データ保護 | DPEM(選択): データ分類、DLP、マルウェアスキャン | D. データ保護(選択): データセキュリティ、AI/MLセキュリティ、データコンプライアンス | AI/MLセキュリティを新規追加 |
| ID・アクセス | IDBM(選択): アクセス管理、異常検知、MFA | E. ID・アクセス管理(選択): アクセス管理、特権アクセス、IDセキュリティ | 特権アクセス管理を強化 |
| インシデント対応 | DFIR(選択): インシデント調査、証拠収集 | F. インシデント対応(選択): 準備、検知・分析、封じ込め・根絶・復旧 | NISTフレームワークに準拠した体系化 |
| 復旧・継続性 | BCRR(選択): ランサムウェア対策、災害復旧 | G. サイバー復旧(選択): 復旧計画、レジリエントアーキテクチャ、ランサムウェア復旧、インシデントシミュレーション | インシデントシミュレーションを追加 |
| こちらは分野の大枠はそこまで変わっていないように見えますが、各分野の内容が拡張されている点が差分ですね。 |
以上が新旧比較になります。
最後に
ここまで、re:Inforce 2025 の Keynoteで発表された『マネージドセキュリティサービスプロバイダー (MSSP) コンピテンシーの更新』についてまとめました。
今回のMSSPコンピテンシーのアップデートは、単なる名称変更ではなく品質基準の大幅な向上を意味しているように思います。
従来のLevel 1 MSSPでは10の必須要件をすべて満たすことが求められていましたが、新しいAWS MSSPコンピテンシーでは12のコア要件に加えて7つの専門分野から1つ以上を選択することが必要となり、より高度で専門的なサービス提供能力が求められるようになりました。
特に注目すべきは、ログ管理、継続的セキュリティポスチャ改善、AWSセキュリティトレーニング・認定などの新規要件の追加です。これらの変更により、MSSPパートナーはより包括的で持続可能なセキュリティサービスを提供することが期待されます。
また、必須だったネットワークセキュリティやエンドポイント保護が専門分野の選択制に変わったことで、各MSSPが自社の強みに応じた差別化戦略を取りやすくなったとも言えるでしょう。
このアップデートは、クラウドセキュリティの複雑化と高度化に対応するAWSの意志を表しており、顧客にとってはより信頼性の高いマネージドセキュリティサービスを選択できる環境が整備されたことを意味します。MSSPパートナーにとっては挑戦的な変更ですが、長期的には業界全体のサービス品質向上につながる重要な一歩と言えるでしょう。
以上です。
