【情シス1,000人に聞いた】EDR＆MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査！

資料をダウンロードする

EDR（Endpoint Detection and Response）とは、エンドポイント上の不審な挙動をリアルタイムで検出し、管理者へ即時に通知することで、脅威に迅速に対応できるセキュリティ製品です。

サイバー攻撃は年々巧妙化し、高度なアンチウイルス製品でも検知が困難なマルウェアや標的型攻撃が増加。よって「侵入を前提としたセキュリティ対策」として、EDRの重要性が高まっています。

しかし、EDRの効果を最大限に発揮するためには、専門知識と経験、そして24時間365日の監視体制が必要です。こうした背景から、社内にSOCチームを立ち上げる、外部のSOCサービスを導入するといった対策が注目を集めています。

この記事では、EDRの運用の課題を補完・解決するSOC（Security Operation Center）の役割やメリット、両者の関係性について解説します。

EDRとは

EDRは、エンドポイントで発生する不審な挙動や脅威を検知し、必要に応じて隔離・駆除・復旧まで対応できるセキュリティ製品です。近年では、標的型攻撃や未知のマルウェアによる侵害が増加しており、従来のアンチウイルスでは検出が困難なケースも多くなっています。これに対応するため、EDRは「振る舞い検知（ビヘイビア分析）」を軸に、脅威の兆候をリアルタイムに監視・対応します。

EDRでは、たとえば、以下のような挙動を検知対象とします

• 業務時間外の異常なファイルアクセス
• 不審な外部IPとの通信
• 通常と異なるプログラムの実行

また、EDRには以下のような機能が備わっています。

• 不審な挙動を検知した際の即時通知
• 危険性のある端末の自動隔離（ネットワーク遮断）
• インシデントの発生源や感染経路の可視化

このようにEDRは、「侵入後にどう迅速に対応するか」を重視した対策であり、ゼロトラスト時代における基本的なセキュリティ基盤の一つといえます。

【情シス1,000人に聞いた】EDR＆MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査！

資料をダウンロードする

SOCとは

SOC（Security Operation Center）とは、企業や組織のIT資産を24時間365日体制で監視し、サイバー攻撃や不正アクセス、内部不正といったセキュリティインシデントを早期に検知・分析・対応する専門チームまたは監視拠点のことです。

SOCは自社で構築・運用することも可能ですが、昨今では専門事業者にアウトソーシングする「MDR（Managed Detection and Response）」の利用も一般的になっています。

SOCの業務内容

SOCの主な業務内容としては、以下の3つが挙げられます。

1. セキュリティ監視

企業・組織が利用しているネットワーク機器やセキュリティソリューション（例：ファイアウォール、EDR、IPS/IDSなど）から出力されるログ（操作記録や通信履歴）を収集・統合し、それをリアルタイムで監視します。

たとえば、社内のPCが突然不審なサーバーと通信を始めた場合や、通常とは異なる時間帯に大量のファイル転送が発生した場合など、平常時と異なる挙動を即座に検知し、アラートとして管理者に通知することで、インシデントの早期発見につなげます。

2.脅威の分析・調査

検知したセキュリティインシデントを分析し、リスクレベルなどを明らかにします。

また、どの端末・システムが被害を受けているのか、攻撃がどこまで拡大しているかといった影響範囲の把握も、迅速な対応のために非常に重要です。必要に応じて、過去のログに遡って攻撃の痕跡を追跡することもあります。

3. インシデント管理・定期報告

インシデントが「実際の脅威である」と判断された場合、SOCはあらかじめ策定された対応計画に基づいてただちに初動対応を実施します。

代表的な対応には以下のようなものがあります。

• 感染・侵害された端末をネットワークから切り離す（隔離）
• 攻撃者と通信している外部のIPアドレスを遮断
• 関係部署やシステム担当者と連携し、迅速に封じ込め措置を取る

また、インシデントの内容、影響、再発防止策などをレポートとして定期的に報告します。報告内容は経営層や情報システム部門の判断材料となり、組織のセキュリティ態勢強化に資するものです。

なぜEDR運用にSOCが必要なのか

EDR導入におけるSOCの必要性について、以下にて詳しく解説します。

1. EDRのアラート対応には高度な知識と判断力が必要

EDRは高度な検知機能を備えており、不審な挙動をリアルタイムで検出・通知します。しかし、アラートの中には「誤検知」や「軽微な事象」も多く含まれており、すべてに即座に対応するのは現実的ではありません。

本当に対応すべき重大なインシデントかどうかを見極めるには、攻撃のTTP（戦術・技術・手順）に関する理解、過去の攻撃パターンや脅威インテリジェンスとの照合を踏まえた、高度な知識と判断力が求められます。

こうした専門的対応を、通常の情報システム部門だけで担うのは難しく、多くの企業では人材不足が課題となっています。SOCがEDRからのアラートを一元的に受け取り、優先度の判断・分析・一次対応を行うことで、検知から対応までのリードタイムを大幅に短縮できます。

2．24時間365日監視できる運用体制が必要

サイバー攻撃は深夜や休日など、組織の監視が手薄な時間帯を狙って行われるケースも少なくありません。たとえば、ランサムウェアの感染や外部とのC2通信などは、気づかないうちに組織内部で進行している可能性もあります。

EDRの真価を引き出すには、アラート発生時に即応できる24時間365日体制の常時監視と即時の対応体制が必要です。

▼SOC部門の担う体制

• アラート内容の精査とインシデントの特定
• 必要に応じた端末の隔離や外部通信の遮断
• 担当部門への迅速なエスカレーション

仮に、深夜に攻撃が発生した場合でも、被害を最小限に食い止めることが可能になります。

3. 情報システム部門の負担軽減とセキュリティ品質の両立

EDRは高機能である一方、運用には多くの人的リソースを要します。膨大なアラートの分析・対応を情報システム部門がすべて担うと、他の重要業務（インフラ保守、ユーザーサポートなど）に支障が出る恐れがあります。

専門のSOCチームを立ち上げる、あるいは外部委託することで、情シス部門では以下のようなメリットが得られます。

• EDRアラートへの対応を専門部隊に委託し、本来の業務に集中できる
• 脅威の見逃しリスクが低減し、全体のセキュリティ品質が向上する
• 属人化のリスクを回避し、標準化されたプロセスでの運用が可能になる

EDR運用でSOCサービスを利用するメリット

ここでは、EDRの運用において、外部のSOCサービス（MDR）を活用する、主なメリットを解説します。

EDRの監視・分析にリソースを割く必要がなくなる

EDRは、不審な挙動や兆候を検知すると多量のアラートやログデータを生成します。これらを精査し、実際の脅威と誤検知を適切に識別するには、専門的な知識と高度な分析スキルが求められます。

SOCサービスを利用することで、これらの監視・分析業務を専門家にアウトソースでき、自社のIT部門やセキュリティ担当者の負担を大幅に軽減することが可能です。特にリソースが限られた中小企業においては、大きなメリットとなります。

セキュリティレベルの向上が期待できる

SOCは、日々進化するサイバー攻撃の手法や傾向を把握している専門アナリストで構成されています。最新の脅威インテリジェンスをもとに異常な挙動を迅速・的確に検出し、初動対応を行う体制が整っています。

これにより、自社単独では対応が難しい高度な攻撃や多層的な侵害に対しても、早期にリスクを軽減でき、組織全体としてのセキュリティレベル向上が期待できます。

トータルコスト削減につながる

SOCを自社で構築・運用するには、以下のようなコストが発生します。

• 専門人材の採用・育成コスト
• 監視インフラの整備費用
• 24時間体制の人員確保・シフト管理

一方で、SOCサービスを外部に委託することで、これらの初期投資や継続的な運用コストを抑えながら、高度な監視体制を短期間で整えることが可能です。

SOCサービスの選定ポイント

EDRや他のセキュリティソリューションと連携して運用されるSOCサービスは、その内容や提供範囲によって大きく異なります。自社に最適なSOCサービスを選定するためには、以下の観点から総合的に比較検討することが重要です。

• 監視対象
• 実績・担当者のスキル
• サポート体制
• インシデント発生時の対応範囲

監視対象

SOCサービスの監視対象が、自社の目的に最適かを確認しましょう。一部のサービスはEDRに特化しており、エンドポイントでの振る舞い検知に強みを持ちます。一方で、次のような広範なセキュリティ製品やインフラを包括的に監視できるサービスもあります。

• ファイアウォールやWAF
• IDS/IPS
• VPN・プロキシなどのネットワーク機器
• クラウドサービス（AWS、Microsoft 365 など）
• SIEMやログ管理基盤

自社が導入しているセキュリティ製品の種類や構成に応じて、どこまでの範囲をカバーできるかを確認し、自社のリスク環境に合ったサービスを選ぶことが大切です。

実績・担当者のスキル

信頼性の高いSOCサービスを選ぶには、運用実績や顧客導入事例の豊富さが一つの指標になります。以下の点に着目しましょう。

• 同業他社や同規模組織への導入実績があるか
• 金融・製造・公共などの業種別対応実績
• インシデント対応件数や平均対応時間の開示

また、実際に運用を担当するアナリストのスキルや資格も確認しておきたいポイントです。

サポート体制

SOCは24時間365日体制の有人監視が前提です。そのうえで、以下のようなサポート体制の柔軟性も確認しておきましょう。

• 日本語によるサポート対応の有無
• インシデント発生時の連絡手段（電話／メール／専用ポータル）
• レポート提供の頻度（リアルタイム／日次／週次）
• 専任担当者の配置（継続的な改善提案や運用レビューの実施）

インシデント発生時の対応範囲

インシデント発生時に、SOCサービスがどこまで実務的な対応を担ってくれるかは、選定において極めて重要です。サービスによって対応範囲は異なりますが、以下のような観点で比較するとよいでしょう。

• アラートの検知・分類
• 脅威分析・影響範囲の特定
• 端末隔離・通信遮断などの初動対応
• 詳細レポートの作成・提供
• 原因分析・再発防止策の提案
• 復旧支援・フォレンジック調査

できるだけ対応範囲が広く、実際のインシデント対応フェーズまで踏み込んで支援してくれるサービスを選定することで、安心して運用を任せることができます。

運用コストが少ないEDR「CylanceOPTICS」

• 万が一に備えてEDRは導入したいけれど、管理工数を割きたくない
• なるべく低価格なEDRを導入したい

そんなお客様におすすめしたいのが、LANSCOPE サイバープロテクションが提供するEDR「CylanceOPTICS（サイランスオプティクス）」です。EPP「CylancePROTECT」のオプションとして導入するEDRのため、通常より安価に導入可能です。

未知のマルウェアでも99％予測検知と隔離ができるAIアンチウイルス「CylancePROTECT」と連動させることで、高精度での脅威の検知、調査、封じ込め、復旧まで一連の対応が行えます。

リソース不足を解決！専門家がEDRで24時間365日監視「CylanceMDR」

LANSCOPE サイバープロテクションでは、「EDR」のマネージドサービス「CylanceMDR」を提供しています。

「CylanceMDR」は、

• 脅威の侵入をブロックする「AIアンチウイルス」
• 侵入後の脅威を検知し対処する「EDR」

の2種類のセキュリティソリューションを、スペシャリストがお客様の代わりに24時間365日の体制で運用。「高度なエンドポイントセキュリティ製品」と、それらの「監視・運用サービス」を、セットで提供します。

お客様環境に合わせた最適なチューニングと独自の検知ルールにより、お客様の確認が必要なアラートを月7件※にまで厳選して通知。不要なアラートへの対応工数を削減します。

※BlackBerry社サンプル事例より、1万台規模の月平均の件数

緊急時もお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。

また、対応スタッフは全員がサイバーセキュリティの修士号を取得。世界的なSOC※1コンテスト※2優勝経験もあるBlackBerry社の専門家が対応するため、安心して運用を任せられます。

※1 Security Operation Center ※2 DEFCON29 (2021) OpenSOC 優勝

詳細は、以下よりご覧ください。

まとめ

本記事では、EDR運用における課題と、その解決策としてのSOCサービスの役割・メリット・選定ポイントについて解説しました。

EDRは、巧妙化するサイバー攻撃に対抗するうえで非常に有効なセキュリティ対策です。しかし、導入しただけでは不十分であり、適切な運用体制があってこそ、その真価が発揮されます。そのためには、専門知識を持つ人材による監視体制、そして24時間365日の対応が可能なSOCサービスの活用が極めて重要な要素となります。
自社のリソースや体制に応じて最適な運用方法を検討し、EDRを最大限に活かせるセキュリティ基盤を整備していきましょう。

【情シス1,000人に聞いた】EDR＆MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査！

資料をダウンロードする