サイバー攻撃
誰でもわかるMDRとは?意味やSOCとの違い・EDRとの関係を解説
目 次
MDRとは?
MDRの提供する機能・サービス
なぜ今、MDRの需要がこれほど高まっているのか?
MDRとSOCサービスの違い
MDRには2種類のサービス形態が存在
失敗しないMDRサービス選びのポイント
業界最速で脅威検知を伝える、MDR「CylanceMDR」
まとめ
MDR(Managed Detection and Response)とは、24時間365日体制で組織のセキュリティ監視を行う、運用サービスのことです。
MDR は、監視・運用だけでなく
- ・ ネットワーク内の脅威を検知・通知
- ・ 脅威の隔離
- ・ 脅威の調査・分析
- ・ 脅威の対処や封じ込め
といった機能も提供します。
また、MDRはSOCと比較されることが多いですが、両者の違いは以下の通りです。
SOC | 企業や組織内に設置される機関。 セキュリティ専門家が24時間体制でネットワークやシステムの監視・分析を行い、セキュリティインシデントへの対応や報告を行う |
---|---|
MDR | サービス提供形態の1つ。 エンドポイントやネットワーク環境に対し、セキュリティベンダーやサービスプロバイダーが、24時間体制で高度な脅威検知や対応を提供するサービス |
SOCは組織内の全体的なセキュリティ監視と管理を担当する機関、MDRはそのようなサービスを外部から提供する形態であると言えます。
この記事では、MDRの必要性やMDRサービスの選び方などを解説します。
▼この記事を要約すると
- MDRとは、24時間365日体制で組織のセキュリティ監視を行う、運用サービス
- MDRが提供する主な機能・サービスは「24時間365日の監視・運用」「ネットワーク内の脅威の検知・通知」「脅威の隔離」「脅威の調査・分析」「脅威の対処や封じ込め」
- MDRの需要が高まっている理由は、「専門的なセキュリティ人材の不足を解消できる」「短いブレイクアウトタイムにも対応できる」などが挙げられる
- MDRとSOCはたびたび比較されるが、SOCは組織内の全体的なセキュリティ監視と管理を担当する機関、MDRはそのようなサービスを外部から提供する形態という違いがある
- MDRには、脅威の検知から分析までを担当する「セミマネージド型」と脅威検知後の隔離・復旧も対応する「フルマネージド型」の2種類がある
- MDRサービスを選ぶときは、「ベンダーがどの範囲を担ってくれるか」「セキュリティ製品の質は良いか」「ベンターの質・専門性は十分であるか」といった点を重視するとよい
MDRの概要を理解したい方から、MDRの導入を検討している方まで、ぜひご一読ください。
また、弊社では情シス1,000名を対象に、MDRと親和性の高い「EDRの利用実態調査」を実施しました。「どの位の企業がEDRが導入しているか」「EDRのマネージドサービス(MDR/SOC)利用率は」などのデータを1冊にまとめたので、ぜひ合わせてご活用ください!
MDRとは?
MDR(Managed Detection and Response)とは、24時間365日体制で組織のセキュリティ監視を行う、運用サービスのことです。セキュリティベンダーやサービスプロバイダーが、依頼者の「エンドポイント」あるいは「ネットワーク」環境を監視し、不審な挙動や脅威を発見します。
MDRでは、専門のベンダーがインシデントに繋がる兆候をいち早く検知し、委託元の現場へと通知。また、万一悪質な挙動や脅威が発見された場合も、インシデント内容を速やかに調査・分析し、適切な対処を実施します。
またMDRは単体としてでなく、エンドポイントやネットワークの監視ソリューションである「EDR」や「NDR」などの、マネージドサービスとして提供されるケースが多くなっています。「EDR」「NDR」に関する説明は、次章で行います。
MDRを利用する場合、基本的にはMDRサービスの提供するセキュリティ製品の導入が前提となるため、製品とマネージドサービス、両方の質や要件を見て、導入を検討する必要があります。
セキュリティソリューション「EDR」とは
MDRで用いられる、セキュリティソリューション「EDR」とは、エンドポイント監視を主な役割とする「EDR(Endpoint Detection and Response)」です。
EDRを用いて、パソコンやスマホ、サーバーといった「エンドポイント」を24時間体制で監視することにより、エンドポイント内部への不正アクセスや、侵入したマルウェアを見逃さず、即座に検知・対処することが可能です。
また、EDRは、しばしば同じエンドポイントのセキュリティソリューション「EPP(Endpoint Protection Platform)」と混同されがちですが、EPPはウイルス対策ソフトに該当するセキュリティ製品であり、エンドポイントへの脅威の侵入をブロックするのが役割です。
それに対しEDRは、エンドポイントへ「侵入後」の脅威を対象に、検知・駆除・分析などが行うのが主な仕事です。
EPPとEDRの役割の違い
「NDR」とは
MDRで用いられるソリューションのうち、ネットワーク監視を主な役割とするのが「NDR(Network Detection and Response)」です。
NDRを活用することで、ネットワーク上のすべての通信を監視し、異常なパターンや挙動・隠れている脅威まで、速やかに検知することができます。
また検知した脅威に対して、速やかにユーザーへ通知すると同時に、自動で隔離や遮断といった対応を行うことも可能です。
「EDR」「NDR」はともに強力なセキュリティソリューションですが、専門的な知識やノウハウを必要とするケースも多く「せっかく導入したものの、十分に使いこなせない」という声が少なくありません。
セキュリティソリューションの効果を最大化する意味でも、MDRの導入は有効な手段の1つと言えるでしょう。
MDRの市場規模は拡大傾向に
セキュリティ意識の向上とともに、リソース不足がうたわれる昨今のニーズにあわせて、MDRの市場規模は着々と拡大傾向にあります。
2023年度における「株式会社グローバルインフォメーション」の報告によると、「世界のMDR市場」は、2022年の21億3,000万米ドルから、2023年には25億3,000万米ドルへと、CAGR(年平均成長率)18.7%で成長することが予測されています。
また、2027年には「MDRの市場規模」が、2023年時点の約2倍となる49億2,000万米ドルになるともいわれており、今後も市場規模は加速的に成長することが見込まれています。
世界のMDR 市場規模予測(2022年~2027年)
昨今における、企業を標的としたサイバー攻撃数の増加や、脅威の高度化に対する「懸念の高まり」が、このようなMDR市場の拡大を促進していることが予測されます。
出典:Global Information|市場調査レポート: MDR(Managed Detection and Response)の世界市場レポート2023年
MDRの提供する機能・サービス
MDRが提供する機能・サービスは、主に次の5つです。
- 24時間365日の監視・運用を行う
- ネットワーク内の脅威を検知し、通知する
- 脅威を隔離する
- 脅威の調査・分析を行う
- ユーザーと相談し、脅威の対処や封じ込めを行う
ここでは、5つの機能とサービスについて詳しく解説します。
1.24時間365日の監視・運用体制を提供する
MDRは、監視対象となるネットワークや機器について、24時間365日の監視・運用体制を提供することが可能です。
自社で終日監視・運用を行うことは困難ですが、MDRサービスを利用することで、このリソース不足の課題を解消することができます。
また、24時間体制で監視を行うことにより、休日や深夜帯など、自社では対応の難しいタイミングでも、脅威を検知し、速やかに隔離や駆除、といった対応を行うことができます。
2.脅威を検知し、アラートで通知する
ネットワークやPC/サーバー内で不審な挙動・異常を検知したら、まずはMDRサービス側で重要度・危険性を判別します。
「重要度が高い」と判断された脅威は、速やかに担当者へと通知を行います。
3.脅威を隔離する
感染が広がらないよう、脅威が検出されたエンドポイントは直ちにネットワークから切り離し、脅威の隔離を行います。
4.脅威の調査・分析・トリアージ(振り分け)を行う
隔離した脅威について、種類・侵入経路・影響範囲などを、収集したログ情報を元に調査・分析します。
また、被害範囲がどの程度に及んでいるかも確認し、必要に応じて適切な初動対応を行います。
5.復旧する
エンドポイントやネットワークを復旧するため、検知した脅威の駆除を行います。
また、脅威が変更した設定やレジストリを元に戻すことで、端末の正常な動作を回復させることができます。
なぜ今、MDRの需要がこれほど高まっているのか?
近年需要が高まっているMDRですが、なぜこれほど注目を集めているのでしょうか?
大きな理由として、
- 1.「専門的なセキュリティ人材」の不足を解消できること
- 2.短いブレイクアウトタイムにも対応できること>
の2点が挙げられます。
1.「専門的なセキュリティ人材」の不足を解消できる
MDRの需要が急増している、1つ目の理由として、昨今の深刻な「セキュリティ人材不足」が挙げられます。
とくに日本国内のおける「優秀なセキュリティ人材の不足」は顕著であり、総務省が令和2年度に公表した「企業におけるセキュリティ人材の充足度合い」に関する報告によると、日本企業の約9割の会社が「人材が不足している」と回答する結果に。
ちなみに米国・シンガポールでは8割の企業が「充足」と回答していることから、日本では世界と比較し、セキュリティのスペシャリストが、大幅に不足していることが伺えます。
▼セキュリティ対策に従事する人材の充足状況のグラフ
出典:総務省|第1部 5Gが促すデジタル変革と新たな日常の構築 – (3)セキュリティ対策の課題
このような背景から、セキュリティの運用・監視をアウトソーシングできる「MDRサービス」の需要が高まっているのです。
専門業者へ委託することで「情報システム部門が、慣れないセキュリティ対策に追われる」などの悩みも解消され、より他の重要な業務へリソースを割り当てることが可能です。
2.短期化したブレイクアウトタイムにも対応できる
MDRの需要が高まっている2つ目の理由は、昨今の短期化した「ブレイクアウトタイム」にも対応できるためです。
ブレイクアウトタイムとは、サイバー攻撃者が侵入したネットワーク内で「横展開を起こすまでの時間」のことであり、いかにブレイクアウトするまでに攻撃を封じ込められるか、がセキュリティ対策においては重要です。
しかし近年、サイバー攻撃が高度化し、ブレイクアウトタイムの短期化が加速したことで、ますます被害規模が深刻化している、といった現状があります。
少し古いデータとなりますが、とあるセキュリティメーカーの検証によると、2021年度のブレイクアウトにかかる時間は平均1時間32分であり、これは2020年の約3倍の速度に匹敵するとのデータも出ています。
参考:ZDNET Japan|ブレイクアウトタイムが2020年の3分の1に短縮
そこで注目されているのが「MDR」です。
サイバー攻撃の影響を最小限にとどめるには、横展開を防ぎ、ブレイクアウトまでの短い時間で迅速に対策を行う必要が生じます。
その点、24時間体制で組織のエンドポイント・ネットワークを監視するMDRであれば、ブレイクアウトタイムの短期化したサイバー攻撃にも、即座に対処し被害の拡大を防ぐことが可能です。
MDRとSOCサービスの違い
MDRとSOCサービスは、ともにセキュリティ運用をおこなう専門の組織であり、しばしば比較対象として話題に上がります。
「SOC(Security Operation Center)」は、セキュリティの専門家が24時間体制でネットワークやシステムの監視や分析を行い、セキュリティインシデントへの対応・報告を行う機関です。
SOCは通常、組織内で構築されるセキュリティ部門・チームを指す場合が多く、その役割を代行するサービス・ベンダーに該当するのが「MDR」となります。
簡単に言えば、SOCは組織内の全体的なセキュリティ監視と管理を担当する機関、MDRはそのようなサービスを外部から提供する形態、であると言えます。
SOC | 企業や組織内に設置される機関。 セキュリティ専門家が24時間体制でネットワークやシステムの監視・分析を行い、セキュリティインシデントへの対応や報告を行う |
---|---|
MDR | サービス提供形態の1つ。 エンドポイントやネットワーク環境に対し、セキュリティベンダーやサービスプロバイダーが、24時間体制で高度な脅威検知や対応を提供するサービス |
企業・組織はMDRを利用することで、自社にセキュリティ部門の設立が難しい場合でも、エンドポイントやネットワーク内の脅威検知や隔離・駆除・再発防止策の実装などが、行えるようになります。
MDRには2種類のサービス形態が存在
MDRには
- 脅威の検知から分析までを担当する「セミマネージド型」
- 脅威検知後の隔離・復旧も対応する「フルマネージド型」
の主に2種類があります。自社のセキュリティ知識やリソースなども十分に考慮した上で、どちらを利用するのかを選ぶことをおすすめします。
ここでは、セミマネージド型とフルマネージド型の特徴やメリットをそれぞれ解説します。
脅威の検知から分析までを担う「セミマネージド型」
MDRの「セミマネージド型」は、主に脅威の検知から分析までの工程を委託できます。24時間365日体制で組織内を監視し、サイバー攻撃の兆候があれば、迅速に検知してインシデントの内容を分析。
分析後は委託元の現場へとエスカレーションし、脅威検知後の具体的な隔離・復旧作業は委託元が実施します。
セミマネージド型は、自社にセキュリティ知識をもった人材がいるものの、24時間365日の監視体制を敷くのが難しい現場などで活躍するサービス形式です。
「インシデント対応は自社で行えるが、監視は他社に任せたい」という企業・組織におすすめです。
脅威検知後の隔離や復旧も対応する「フルマネージド型」
対する「フルマネージド型」は、脅威の検知・分析だけでなく、脅威検知後の隔離・復旧まで担当するサービス形式です。24時間365日体制で組織内を監視し、検知した脅威の調査・分析、初動対応、復旧作業までを委託することができます。
フルマネージド型であれば、セキュリティの専門知識やスキルが不足する組織であっても、万全なセキュリティ体制の構築が実現できます。また、脅威検知後のエスカレーションにかかる時間が不要になるため、セミマネージド型に比べ、より迅速に脅威へ対処を行うことが可能です。
「スペシャリストに、強固なセキュリティ体制構築をすべてお任せしたい」という企業・組織におすすめです。
失敗しないMDRサービス選びのポイント
先述のとおり、ひとえに「MDRサービス」といっても、その対応範囲や性質はサービス・ベンダーによって様々です。
また「セキュリティ製品のマネージドサービス」という特長柄、そもそものソリューションの品質は十分であるかも、選定時の重要なポイントとなります。
自社に合ったMDRサービスを選定するため確認すべき、「失敗しないMDR選定のポイント」を3つご紹介します。
- 1. ベンダーがどの範囲を担ってくれるかを確認
- 2. セキュリティ製品の質は良いか
- 3. ベンターの質・専門性は十分であるか
1.ベンダーがどの範囲を担ってくれるかを確認
1つ目のポイントは、セキュリティ監視から調査・分析・隔離・復旧までのフローのうち「ベンダーがどの範囲を担ってくれるのか」を確認することです。
前述のように、MDRサービスには「セミマネージド型」と「フルマネージド型」の2種類があり、ベンダーに対応を任せられる範囲が異なります。
仮に「セキュリティ監視から、発見した脅威の駆除や隔離対応まで、すべてMDRサービスへ任せたい」と思っていたのに、実際は「検知後の対応は自社で行う」形態となれば、十分なセキュリティ体制が構築できないケースも想定されるでしょう。
「求める業務内容が満たせているか」は、MDRサービスを選ぶうえで重要な観点の1つです。
2.セキュリティ製品の質は良いか
先述のとおり、MDRは「EDR」「NDR」といった、監視セキュリティソリューションとセットで提供されるケースが一般的です。
そのため、そもそも製品自体の品質が他社と比べて優れているか、自社に必要な機能が網羅されているかも、重要な判断材料となります。
例えば「EDR」を例に挙げると、製品選びのポイントとして、以下のような観点があります。
- 検知精度の高さ(誤検知の少なさ)
- 未知・既知を問わず脅威を検知できるか
- 製品タイプ(EPP連携は可能か?EPP機能も付属しているか?)
- 価格帯
- 国内での導入実績
- CPUの負荷が低いか
監視や検知の精度は「製品の機能」に依存する点も多いため、MDRを利用する際は、ソリューションの品質も含めて検討を行いましょう。
3.ベンダーの質・専門性は十分であるか
MDR選定時のポイント3つ目は、実際に製品を運用する「セキュリティベンダー」の専門性やスキルの高さです。
セキュリティ監視は委託先のスタッフが対応するため、スタッフが優秀であるかは重要な選定基準です。サービスによっては、スタッフの実績や取得資格、経験値などを公表しているケースもあるため、安心して業務が依頼できるかと確認しましょう。
業界最速で脅威検知を伝える、MDR「CylanceMDR」
ここまで「MDRサービスとは何たるか」を説明させていただきましたが、最後に少しだけ、弊社のMDRサービスについてご紹介させてください。
LANSCOPE サイバープロテクションでは、「EDR」のマネージドサービスとして高品質なMDR「CylanceMDR」の提供を、2023年10月4日より開始します。
「CylanceMDR」はエンドポイントセキュリティに特化したMDRであり
- 脅威の侵入をブロックする「AIアンチウイルス」
- 侵入後の脅威を検知し対処する「EDR」
の2種類のソリューションを、セキュリティのスペシャリストが24時間体制で運用します。
MDRサービス「CylanceMDR」独自の強み
他社サービスと比べ、「CylanceMDR」に特出される強みは、次の3点です。
- 世界トップクラスのスタッフで、「修士号取得者」のみ配置
- アラートを厳選して通知するため、お客様の管理負荷を最小限に
- 問い合わせからの平均応答時間は9分
CylanceMDRでは、運用・監視にあたるスタッフ全員が「サイバーセキュリティの修士号」を取得しています。世界トップクラスで「優秀なスタッフ」のみがサポートにあたるため、安心してセキュリティ対応をお任せいただけます。
また、通常MDRサービスでは「検知したすべての不審な挙動」を、お客様へ通知します。しかし、すべての検知にアラートを通知すると、お客様の対応が追いつかない・管理負荷が高まるなどのデメリットがあります。
CylanceMDRでは優秀なスタッフがお客様とミーティングし、本当に必要なアラートのみを厳選して通知するため、余計な業務負荷がかかりません。重大な脅威を検知した際は、お客様の代わりにサイバー攻撃へ即時で対応するため、安心して本体の仕事へ集中していただけます。
さらにCylanceMDRでは、 MDRの専門スタッフに直接連絡いただけます。お客様の急なお問い合わせにも「平均9分」の素早さで対応するため、緊急で相談したい場合も心配ありません。
まとめ
組織のエンドポイントやネットワーク監視を行う、いま話題のセキュリティサービス「MDR」について解説しました。
本記事のまとめ
- MDRとは、24時間365日体制で組織のセキュリティ監視を行う、運用サービス
- MDRが提供する主な機能・サービスは「24時間365日の監視・運用」「ネットワーク内の脅威の検知・通知」「脅威の隔離」「脅威の調査・分析」「脅威の対処や封じ込め」
- MDRの需要が高まっている理由は、「専門的なセキュリティ人材の不足を解消できる」「短いブレイクアウトタイムにも対応できる」などが挙げられる
- MDRとSOCはたびたび比較されるが、SOCは組織内の全体的なセキュリティ監視と管理を担当する機関、MDRはそのようなサービスを外部から提供する形態という違いがある
- MDRには、脅威の検知から分析までを担当する「セミマネージド型」と脅威検知後の隔離・復旧も対応する「フルマネージド型」の2種類がある
- MDRサービスを選ぶときは、「ベンダーがどの範囲を担ってくれるか」「セキュリティ製品の質は良いか」「ベンターの質・専門性は十分であるか」といった点を重視するとよい
今回紹介したポイントにも注目しつつ、自社に合ったセキュリティ製品とベンダーを選び、サイバー攻撃に強いセキュリティ体制構築を目指しましょう。
この記事が「MDRサービス」の理解に、少しでもお役に立てたなら幸いです。
また、弊社では情シス1,000名を対象に「EDRの利用実態調査」を実施しました。「EDR導入企業はどの位の割合か」「EDRのマネージドサービス(MDR/SOC)利用率は」などのデータを1冊にまとめたので、ぜひ合わせてご活用ください!
関連する記事