コンピューターネットワークの整備が進み、利用が広まるにつれ、サイバー攻撃の件数と脅威度は大きく増加しています。かつてはウイルス対策ソフトのみで対応できていたサイバー攻撃も、近年では手法が巧みになり悪質性も増しています。
特に、ITリテラシー関連の対策が進んでいない企業が標的になることが多く、そこを拠点に他企業にまで攻撃をしかけるなど攻撃手段も緻密になっています。
このようなセキュリティ脅威の監視、対処、低減の実現に不可欠なサービスがMDRです。
本記事では、セキュリティ対策におけるMDRの役割およびEDRとの関係性について解説します。
MDRとは?
MDR(Managed Detection and Response)は、サイバー攻撃の予兆を早期に検知し、攻撃への対処を支援するアウトソーシングサービスです。MDRそのものが攻撃に対処するのではなく、複数のセキュリティ対策サービスを横断的に有効活用することがMDR導入の目的です。
- MDRが注目される背景/EDRとの関係
近年はサイバー攻撃の手法も巧妙になっており、完全な防御は難しくなっています。また、リモートワークやクラウドサービスの利用が一般的になるにつれて、組織内のネットワークと外部ネットワークの接点も急増しているが故に、サイバー攻撃を受ける可能性も増えているのです。
多様化するセキュリティインシデントに対応するには「EDR(Endpoint Detection and Response)」が有効です。EDRとは、ユーザーが利用するPC・スマホなどのデバイス端末やサーバー(エンドポイント)における不審な動きを検知し、管理者に通知したり迅速な処置を行ったりするソリューションを指します。
EDRは、エンドポイントの通信データを継続的に収集し、既知の脅威や疑わしいデータがまぎれていないかを常に見張っています。検知結果の判断は、過去のデータ、メーカーやサードパーティが提供する脅威情報、通常データの分析から学習したアルゴリズムを基に行う仕組みです。
EDRに加え、「SOC(Security Operation Center)」と呼ばれる24時間・365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出・分析を行う専門チームを社内に設置する必要があるでしょう。しかし、人材が足りず専門チームの立ち上げが困難な企業も少なくありません。
そういった背景から注目されているのがMDRです。MDRは、24時間・365日のシステム管理を請け負うアウトソーシングサービスであり、セキュリティ対応に長けたスタッフがセキュリティツールのログやアラートを監視し、適切な対処や運用を行います。
現在、サイバー攻撃による情報漏えいやシステムダウンなどのセキュリティへの懸念は年々増加しており、それに比例してMDR市場も拡大傾向にあります。このような背景から、MDRは注目されているのです。
EDRについて、以下の関連記事でも詳しく解説しています。
▼ 「EPP」と「EDR」の違いとは? エンドポイント対策の目的や機能について解説
▼EDR製品でどのようなセキュリティを実現できる? 概要や仕組み、具体的な製品を紹介
MDRの2つのサービスタイプ
サイバー攻撃の予兆検知後の対応範囲で、MDRは2つのタイプに分けられます。自社のセキュリティ体制にとって、どちらのタイプが最適か検討しましょう。
- フルマネージド型
フルマネージド型のMDRでは、サイバー攻撃に対する初期対応をすべて委託できるサービスです。
24時間・365日のモニタリング体制で、エンドポイントにて発生した脅威の検知や感染した端末の隔離、事象の分析・復旧まで、MDR委託業者が行います。社内にセキュリティ関連の人材がいない場合でも、しっかりとしたセキュリティ運用体制をすぐに整えられるメリットがあります。 - セミマネージド型
セミマネージド型のMDRは、検知から処理のプロセスの途中で、自社が引き継ぎます。
社内運用と社外運用をどこで分けるかはMDR委託業者との契約によりますが、多くの場合、脅威の検知から分析までの工程を委託し、脅威検知後の端末の隔離や復旧作業といった技術対応を自社で行います。自社でシステム管理を行ってきたものの、人員の補充が難しい場合や24時間・365日の監視体制だけ外部に任せたい場合などに選ばれるサービス形態です。
MDRの主な機能を解説
MDRで提供される主な機能をまとめて紹介します。
24時間・365日のネットワーク監視・運用
いつ発生するかわからないサイバー攻撃やマルウェアの侵入に備えることは、MDRサービスの土台でもあります。自社でそこまでの人員を確保できる企業は限られているかもしれません。
MDRを活用することで、人的リソースの不足を補うことが可能となり、24時間・365日体制のネットワーク監視・運用を実現できるのです。
ネットワーク内の脅威の検知および通知
MDRは、ネットワークのデータの動きを常に監視しています。万が一、通常から逸脱した挙動や何らかの異常を検知した場合、既知のものやあらかじめ対策が講じられているものであれば自動的にその後の処理を行います。
判断がつかないものや脅威度が高いと判断されたものは速やかに管理者へ報告されるため、脅威に対して迅速な対応を行えるようになります。
脅威の切り離し
ウイルス感染やマルウェア侵入が確認されたエンドポイントを、速やかにシステム・ネットワークから切り離し、隔離します。
ウイルスの影響範囲を広げないため、ポイントの特定とシステム・ネットワークからエンドポイントを隔離することは、早急に対応しなければなりません。
脅威の調査・分析・トリアージ
検知・隔離した脅威に対して、種類/侵入経路/影響範囲などのログを収集し調査、その後分析トリアージ(振り分け)を行います。また、被害の範囲や程度を調べ、適切な初動対応を実施します。
復旧
システム復旧のため、検知した脅威の駆除を行い、正常な状態に復旧させます。侵入した脅威によって変更されたシステム設定や各種パラメーターなどを侵入前の状態に戻し、被害にあった端末を正常な状態に復旧します。
MDR導入のメリット
MDR導入によって、サイバー攻撃への備えとして早期検知から事後対策までを依頼できます。MDR導入のメリットを具体的に紹介します。
- セキュリティ専門家の知見を活用できる
セキュリティ人材の不足は、多くの企業が抱える問題です。
MDRを導入すれば、専門家の知見を自社のセキュリティに生かすことが可能なため、より強固なセキュリティ体制を構築できるでしょう。 - 人材の育成・雇用コストを削減できる
社内でSOCチームを作るのは簡単ではありません。人材の採用から育成には長い学習期間を要します。人材を育成できても、退職されたり期待したほどの適性がなかったりというケースも。MDRも費用がかかりますが、確実に成果を得られることに加え、育成・雇用コストを抑えられるメリットがあります。
- 最適なセキュリティ体制を常に運用できる
MDRの利点は、24時間・365日体制を構築できるだけでなく、EDRから通知されたアラートに対して素早く対応できる点も挙げられます。
MDRを利用することで、より高度なセキュリティ対策チームを立ち上げられるでしょう。
MDR導入のポイント
MDRは、EDRをはじめとするセキュリティツールを活用した上で、サイバー攻撃やマルウェアなどからシステムを守るスキルを持つ人材に委託するアウトソーシングサービスです。
ツールの性能も大切ですが、最終的には運用する専門家チームの能力やサービス範囲が決め手となります。
ここでは、MDRを導入する際の注意すべきポイントについて解説します。
- 脅威への検出・応答技術が優れているか
MDR選定においてもっとも肝心なポイントは、異常や脅威の検知と対処を速やかに行うことです。導入目的であるセキュリティ向上に不安が残るようでは意味がありません。
MDR委託業者の導入事例や他社からの評判を参考に、信頼できる企業を選びましょう。資料を取り寄せたり、MDR委託業者が開催しているサイバーセキュリティ関連のセミナーへ出席してみたりするのも有効な判断基準となるはずです。 - 24時間・365日の監視体制が可能か
24時間・365日の監視体制を可能にすることも、MDR導入の大きな目的です。
社内の人員だけではそのような監視体制を整えられないことが、MDR利用の動機になっているようです。サイバー攻撃はいつ発生するかわかりません。切れ目のない常時継続した監視体制は不可欠です。 - 高レベルなカスタマーサポート
脅威の検知と対処だけを粛々とこなすだけでなく、セキュリティ向上のために対応済みの事案のフィードバックや社内でできる対策について提案・検討してくれるMDR委託業者が理想です。
サイバー攻撃は年々脅威を増しているため、サイバーセキュリティのレベルも常に更新していかなければなりません。そのためには、MDR委託業者の高品質なノウハウやサポートが不可欠となります。 - 自社システムの要件に適しているか
社内システムは、組織の業務内容や事業規模によって異なるため、それらの要件を考慮した上でMDRが必要です。
顧客の要望・目的に合わせた柔軟な対応や、最適な提案を行えるMDR委託業者が求められます。
テクバンのEDR支援サービス
ここでは、テクバンが提供しているEDR支援サービスを紹介します。
VMware Carbon Black Cloud(EDR)導入支援サービス
VMware Carbon Black Cloudは、最新のアンチウイルス対策とアプリケーションの挙動分析で、未知の脅威にも対処するサービスです。
クラウドタイプのため導入が容易で、多拠点やリモートワークなどのセキュリティ環境をまとめてサポートします。
VMware Carbon Black Cloud(EDR)導入支援サービス
Sophos Intercept X Advanced導入・運用支援サービス
Sophos Intercept X Advancedは、ディープラーニングを用いた検知エンジンとAI(人工知能)によるエンドポイントの検知分析を併用し、未知の攻撃からもシステムを守ります。
また対処・復旧も自動的に行い、原因分析までAIがカバーします。
Sophos Intercept X Advanced導入・運用支援サービス
CrowdStrike Falcon導入支援サービス
CrowdStrike Falconは、開発時からクラウド環境を想定しており、世界中のイベントから脅威の分析・共有を行います。また、管理者のモニタリング環境もクラウドで提供され、管理者およびモニタリング用PCの負荷軽減も。
MDRサービスの管理とモニタリングに適しており、遠隔操作で脅威の排除を実現します。
CrowdStrike Falcon導入支援サービス
自社に最適なMDRを
セキュアなシステム運用を行うには、セキュリティソフトとその機能を活用できる専門家のノウハウが不可欠です。それに加え、システムやネットワークの監視は、休みなく行わねばなりません。これらの難易度の高い要件を満たすサービスがMDRです。
しかし、MDRなら何でもよいというわけではありません。MDR導入時は、自社システムを適切に診断し、最適なソリューションを提案してくれるコンサルティング企業を選ぶことが大切です。
テクバンも、MDRサービスを提供している企業のひとつです。自社のセキュリティ対策について、お悩み事がありましたらぜひお気軽にご相談ください。
テクバンへ一度相談してみる
