目 次
サイバー攻撃が高度化し、被害規模が深刻化している昨今、企業には適切なセキュリティ対策が求められています。
しかし、社内のセキュリティ人材が不足していることから、思うようにセキュリティ対策が進められないという現状も見受けられます。
本記事では、サイバー攻撃の検出と対応を専門家が代行するセキュリティサービスである「MDR」について、機能や必要性、MDRサービスの選び方などを解説します。
▼本記事でわかること
- MDRの概要や注目されている理由
- MDRの機能や導入するメリット
- MDRサービスの選び方
MDRの概要を理解したい方から、MDRの導入を検討している方まで、ぜひご一読ください。
また、弊社では情シス1,000名を対象に、MDRと親和性の高い「EDRの利用実態調査」を実施しました。「どのくらいの企業がEDRが導入しているか」「EDRのマネージドサービス(MDR/SOC)利用率は」などのデータを1冊にまとめているので、本記事とあわせてぜひご活用ください。
MDRとは
「MDR(Managed Detection and Response)」とは、24時間365日体制で組織のセキュリティ監視をおこなう運用サービスです。
依頼者の「エンドポイント」あるいは「ネットワーク」環境を監視し、万が一不審・悪質な挙動や脅威が発見された場合は、インシデント内容を速やかに調査・分析し、適切な対処を実施します。
MDRは、昨今単体としてでなく、エンドポイントやネットワークの監視ソリューションである「EDR」や「NDR」などのマネージドサービスとして提供されるケースも多くなっています。
| EDR | PCやスマートフォンなどのエンドポイントおける不正な活動を速やかに検知・通知し、サイバー攻撃の侵入にいち早く対処するためのセキュリティーソリューション |
|---|---|
| NDR | ネットワーク上のすべての通信を監視し、異常なパターンや挙動・隠れている脅威までを速やかに検知するセキュリティソリューション |
MDRを利用する場合、基本的にはMDRサービスを提供するセキュリティ製品の導入が前提となります。そのため、MDRの導入を検討する際は、製品とマネージドサービスの両方の質や要件を確認する必要があります。
失敗しないMDRサービスの選び方については後述します。
MDRとSOC・EDRの違い
「MDR」と混同しやすいセキュリティ用語に「SOC」「EDR」が挙げられます。
それぞれの言葉の意味とMDRとの違いを解説します。
SOCとの違い
「SOC」とは、Security Operation Centerの略称で、セキュリティの強化といち早いインシデント対応を目的として、24時間365日体制でネットワークを監視し、検知・分析を担う組織です。
SOCは、一般的に企業・組織内のセキュリティ部門・チームを指し、その役割を代行するサービス・ベンダーに該当するのが「MDR」です。
社内に「SOC」などのセキュリティ部門の設立が難しい場合は、SOCの役割をMDRにアウトソースすることで、エンドポイントやネットワーク内の脅威検知や隔離・駆除・再発防止策の実装をおこなえるようになります。
SOCについてより詳しく知りたい方は、下記の記事をあわせてご確認ください。
EDRとの違い
「EDR」とは、Endpoint Detection and Responseの略称で、PCやスマートフォンなどのエンドポイントに侵入したマルウェアなどの不正な活動を速やかに検知し、隔離や駆除、復旧までを担うセキュリティーソリューションです。
一方でMDRは、依頼者のエンドポイントやネットワーク環境を監視し、不審な挙動や脅威を発見から対処までを担うサービスです。
MDRは、EDRが出力したアラートを素早く分析し、重要度が高いと判断した脅威は、担当者へと通知をおこないます。
これにより、迅速な初動対応が可能となるので、エンドポイントへの影響を最小限に抑えることができます。
EDRについてより詳しく知りたい方は、下記の記事をあわせてご参照ください。
MDRが重要視される理由
近年需要が高まっているMDRですが、なぜこれほどまでに注目を集めているのでしょうか。
MDRが重要視されるようになった背景として、下記の2つが考えられます。
MDRが重要視される理由を詳しく確認していきましょう。
セキュリティ人材の不足
MDRの需要が急増している理由として、セキュリティ人材の不足深刻化が挙げられます。
とくに、日本国内における優秀なセキュリティ人材の不足は顕著です。
総務省が令和2年度に公表した「企業におけるセキュリティ人材の充足度合い」に関する報告によると、日本企業の約9割の会社が「セキュリティ人材が不足している」と回答しています。
一方で米国やシンガポールでは、約8割の企業が「充足」と回答していることから、日本はとくにセキュリティ人材が不足していることが伺えます。
このようなセキュリティ人材が不足している状況から、セキュリティの運用・監視をアウトソーシングできる「MDR」の需要が高まっています。
セキュリティの専門家へアウトソースすることで、「情報システム部門が慣れないセキュリティ対策に追われる」などの悩みを解消することができ、社内のセキュリティ対策強化も図ることができます。
出典:総務省「令和2年版 情報通信白書|セキュリティ対策の課題」
セキュリティ攻撃の高度化
MDRの需要が高まっている2つ目の理由は、短期化した「ブレイクアウトタイム」に対応するためです。
ブレイクアウトタイムとは、サイバー攻撃者が侵入したネットワーク内で「横展開を起こすまでの時間」です。
ブレイクアウトするまでにいかに攻撃を封じ込められるかがセキュリティ対策においては非常に重要です。
しかし近年、サイバー攻撃が高度化し、ブレイクアウトタイムの短期化が加速したことで、ますます被害規模が深刻化しているといった現状があります。
あるセキュリティメーカーの検証によると、2023年には84分であったブレイクアウトタイムが、2024年には62分まで短縮され、最速では2分7秒という劇的な高速化が確認されています。
サイバー攻撃の影響を最小限にとどめるためには、ブレイクアウトまでの短い時間で迅速に対処し、攻撃の横展開を防ぐ必要があります。
そのため、24時間365日体制で組織のエンドポイント・ネットワークを監視する「MDR」が注目を集めています。
MDRであれば、ブレイクアウトタイムの短期化したサイバー攻撃にも、即座に対処し被害の拡大を防ぐことが可能です。
出典:クラウドストライク「クラウドストライク、2024年版グローバル脅威レポート:クラウドインフラストラクチャが攻撃対象に。システム侵入から侵害まではわずか3分」
MDRの機能
MDRが提供する機能・サービスは、主に以下の5つです。
MDRの機能とサービスについて詳しく解説します。
1.24時間365日の監視・運用
MDRは、監視対象となるネットワークや機器について、24時間365日の監視・運用体制を提供します。
社内リソースのみで、終日監視・運用をおこなうことは困難ですが、MDRサービスを利用することで、リソース不足の課題を解消することができます。
また、24時間365日監視をおこなうため、休日や深夜帯など、自社だけでは対応の難しい時間やタイミングでも、脅威を検知し、速やかに隔離や駆除といった対応を実施することが可能です。
2.脅威の検知・アラート通知
MDRは、監視対象であるPCやスマートフォンなどのエンドポイント、ネットワーク、サーバー内などで不審な挙動や異常を検知し、速やかに通知をおこないます。
MDRサービス側で重要度や危険度を判別することはもちろん、事前に通知する脅威のレベルを決めておけば、そのレベルに応じて通知を受け取ることが可能です。
3.脅威の隔離
MDRが脅威を検知したら、感染が拡大しないように速やかに脅威を隔離します。
前述した通り、ブレイクアウトタイムは年々高速化しているため、脅威を検知した際の初動対応は非常に重要です。
セキュリティの専門家であるMDRを導入することで、脅威を速やかに検知でき、脅威の影響を最小限に収めることができるでしょう。
4.脅威の調査・分析
初動対応が完了したら、隔離した脅威について、種類や侵入経路、影響範囲などを収集したログ情報を元に、調査・分析を実施します。
脅威がどこから侵入したのか、どこまでが影響範囲なのかを適切に調査することで、具体的な対応策が策定でき、被害の拡大を防ぐことが可能です。
5.脅威の対処・封じ込め
脅威の隔離や調査・分析が完了したら、エンドポイントやネットワークの速やかに復旧させるため検知した脅威の駆除をおこないます。
脅威が変更した設定やレジストリを元に戻すことで、端末の正常な動作を回復させることができます。
MDRを活用するメリット
MDRを活用することで期待できるメリットの一例は以下の通りです。
セキュリティの専門家であるべンダーやサービスプロバイダーが、24時間365日体制でエンドポイントやネットワークを監視してくれるので、セキュリティインシデントをいち早く検知することが可能です。
また、MDRを活用することで、EDRやNDRを運用するためのセキュリティ人材を確保する必要がなくなるため、コストの削減も期待できます。
MDRを活用することで、社内に専門知識のある人材やセキュリティ対策に割く人材が不足していても、常に高い水準のセキュリティ環境を維持できる点がMDRのメリットといえるでしょう。
MDRの種類
MDRには、対応範囲が異なる2種類のサービスがあります。
社内のセキュリティ体制や求めるセキュリティレベルに応じて、最適なサービスを選ぶことが好ましいです。
2種類のサービスの特徴とメリットを解説します。
セミマネージド型
セミマネージド型は、主に脅威の検知から分析までの工程をアウトソースできるサービスです。24時間365日体制で組織内を監視し、サイバー攻撃の兆候があれば、迅速に検知してインシデントの内容を分析します。
セミマネージド型の場合、分析結果は委託元の現場へとエスカレーションされ、脅威検知後の具体的な隔離・復旧作業は委託元の企業が実施する必要があります。
セミマネージド型は、社内にセキュリティ知識をもった人材がいるものの、24時間365日の監視体制を敷くのが難しい場合に最適なサービスです。
「インシデント対応は自社でおこなえるが、監視は他社に任せたい」という企業・組織におすすめです。
フルマネージド型
フルマネージド型は、脅威の検知・分析だけでなく、脅威検知後の隔離・復旧までをアウトソースできるサービスです。24時間365日体制で組織内を監視し、検知した脅威の調査・分析、初動対応、復旧作業までを任せることができます。
フルマネージド型であれば、セキュリティの専門知識やスキルが不足する組織であっても、万全なセキュリティ体制の構築が実現できます。また、脅威検知後のエスカレーションにかかる時間が不要になるため、セミマネージド型に比べ、より迅速に脅威へ対処を実施することが可能です。
「セキュリティの専門家に強固なセキュリティ体制構築をすべて任せたい」という企業・組織におすすめです。
失敗しないMDRサービスの選び方
一口に「MDRサービス」といっても、対応範囲や特徴、活用のメリットなどは、サービス・ベンダーによって様々です。
また、MDRは企業・組織のセキュリティを強固にするためのサービスであるため、そもそものソリューションの品質は十分であるかも選定時の重要なポイントです。
本記事では、自社に最適なMDRサービスを選ぶために確認しておきたいMDR選定のポイントを3つご紹介します。
MDRサービス選びを失敗しないためにも、3つのポイントを必ず確認するようにしましょう。
1.ベンターが担う範囲
まずは、セキュリティ監視から調査・分析・隔離・復旧までのフローのうち、ベンダーがどこまでの範囲を担ってくれるのかを確認しましょう。
前述の通り、MDRサービスには「セミマネージド型」と「フルマネージド型」の2種類があり、ベンダーサービスによって対応を任せられる範囲が異なります。
仮に「セキュリティ監視から、発見した脅威の駆除や隔離対応まで、すべてMDRサービスに任せたい」と思っていたのに、実際は「検知後の対応は自社でおこなう必要がある」サービスを選んでしまうと、十分なセキュリティ体制が構築できなくなってしまうでしょう。
「任せたい範囲を満たしているか」は、MDRサービスを選ぶうえで重要ポイントの一つです。
2.セキュリティ製品の質
前述した通りMDRは、EDRやNDRといったセキュリティソリューションとセットで提供されるケースが一般的です。
そのため、「そもそも製品自体の品質が他社と比べて優れているか」や「自社に必要な機能が網羅されているか」も、サービスを検討する際の重要な検討ポイントとなります。
EDRを例に挙げると、製品選びのポイントとして以下のような観点が挙げられます。
監視や検知の精度は、EDRやNDRなどの製品の機能に依存する点も多いため、MDRを利用する際は、ソリューションの品質も含めて検討をおこないましょう。
3.ベンダーの質・専門性
MDRサービスを選ぶ際は、実際に製品を運用する「セキュリティベンダー」の専門性やスキルの高さも重要視すべきポイントです。
MDRサービスの場合、セキュリティ監視は委託先のスタッフが対応するため、スタッフが優秀であるかは重要な選定基準です。サービスによっては、スタッフの実績や取得資格、経験値などを公表しているケースもあるため、安心して委託できるサービスかどうかは事前に確認するようにしましょう。
業界最速で脅威検知を伝える、MDR「CylanceMDR」
ここまでMDRの機能や導入のメリット、選び方などを解説してきましたが、最後に弊社のMDRサービス 「CylanceMDR」についてご紹介します。
LANSCOPE サイバープロテクションでは、2023年10月4日より「EDR」のマネージドサービスとして高品質な「CylanceMDR」の提供を開始しました。
「CylanceMDR」は、エンドポイントセキュリティに特化したMDRであり、下記の2種類のソリューションを、セキュリティのスペシャリストが24時間体制で運用します。
また「CylanceMDR」は、他社サービスと比較して、3つの特出した強みをもっています。
まず「CylanceMDR」では、運用・監視にあたるスタッフ全員が「サイバーセキュリティの修士号」を取得しています。世界トップクラスの優秀なスタッフのみがサポートにあたるため、安心してセキュリティ対応をお任せいただけます。
また、通常のMDRサービスでは「検知したすべての不審な挙動」をお客様へ通知するため、お客様の対応が追いつかず、管理負荷が高まってしまうなどのデメリットが生じるケースがありますが、「CylanceMDR」では、お客様と相談のうえ、本当に必要なアラートのみを厳選して通知するため、業務負荷の軽減が期待できます。
さらに、重大な脅威を検知した際は、お客様の代わりにサイバー攻撃へ即時で対応するため、お客様の管理負荷の削減にもつながります。
「CylanceMDR」では、お困りの点があった際に、コールセンターなどを挟まずに、MDRの専門スタッフに直接連絡をすることが可能です。
お客様の急なお問い合わせにも「平均9分」の素早さで対応するため、緊急で相談したい場合でも、迅速にご相談いただけます。
「CylanceMDR」のサービス内容をわかりやすくまとめた資料もご用意しているので、MDRの導入を検討している企業の方は、ぜひ無料ダウンロードして、ご検討ください。
まとめ
本記事では、昨今のサイバー攻撃高度化から注目を集める「MDR」について、主な機能や導入のメリット、サービスを選ぶ際のポイントなどを解説しました。
社内にセキュリティ人材が不足している場合や、セキュリティ体制に不安がある企業の方は、ぜひ「MDR」サービスの導入をご検討ください。
▼本記事のまとめ
- MDRとは、24時間365日体制で組織のセキュリティ監視をおこなう運用サービス
- 日本におけるセキュリティ人材の不足やサイバー攻撃の高度化から、MDRの需要は年々高まっている
- MDRサービスには、対応範囲が異なる2種類の形態がある
- MDRサービスを選ぶ際は、「ベンダーの対応範囲」「セキュリティ製品の質」「ベンダーの質・専門性」などの観点を考慮する
企業の持続的な成長を目指すうえでは、十分なセキュリティ対策が欠かせません。
本記事で紹介した選定ポイントを参考に、ぜひ自社に最適な「MDR」サービスの導入をご検討ください。
また、弊社では情シス1,000名を対象に「EDRの利用実態調査」を実施しました。「EDR導入企業の割合」や「EDRのマネージドサービス(MDR/SOC)利用率」などのデータを1冊にまとめているので、MDRサービスを選定する際の検討材料として、ぜひご活用ください。
おすすめ記事
