MDR (Managed Detection and Response) とは?
MDR セキュリティとは?
サイバーセキュリティにおける MDR (Managed detection and response) とは、サイバー攻撃の検出および対応の専門家が 24時間年中無休で提供するフルマネージドサービスであり、テクノロジーソリューションだけでは防げないような脅威も阻止します。人間の専門知識と、保護テクノロジーおよび機械学習モデルを組み合わせることで、MDR アナリストは、人間主導型の高度な攻撃を検出、調査、無力化し、データ侵害やランサムウェアを防ぎます。
MDR が必要な理由
テクノロジーだけでは、あらゆる攻撃を阻止することはできません。今日の犯罪組織は多額の資金をもとでに、攻撃テクニックを常に進化させており、盗んだ認証情報や、セキュリティの設定ミス、正規の IT セキュリティツールを利用して、従来のサイバー対策を回避します。
ほとんどの組織は、自力で 24時間 365日、脅威を監視することはできません。そのため、マネージドセキュリティサービスに目を向け、MDR (managed detection and response) 企業と提携する企業が増えています。こうしたサービスを使えば、専門家に高度な脅威を 24時間体制で阻止してもらうことが可能となります。
MDR サービスの需要は急増しており、Gartner 社は 2025年までに 2社に 1社が MDR サービスを利用することになると予想しています。
MDR の利点
MDR サービスの内容はさまざまですが、通常は、次のようなコア機能と利点があります。
グローバル規模の専門知識に基づく、抜群のサイバー防御力
グローバル規模の脅威インテリジェンスと MDR 分析情報を活用し、単一の組織では把握不可能な攻撃やインシデントを可視化します。
24時間 365日体制の脅威検出および対応
MDR によって自社のセキュリティチームを補い、スタッフを増やすことなく 24時間 365日体制の脅威検出および対応を実現できます。
専門家主導の脅威ハンティングチーム
自動化と人間の専門知識を組み合わせて、脅威を迅速に調査、検証、無効化します。このような徹底的なインシデント対応により、脅威を完全に排除します。
プロアクティブな脅威対応
攻撃の拡散を食い止め、根本原因分析により再発を防止します。また、継続的なヘルスチェックにより、健全なセキュリティ状態を維持します。
万全なセキュリティ体制
MDR を利用すれば、高いスキルの専門家が防御にあたってくれるという安心感を得られ、セキュリティ担当者の負担を減らせます。
スキル不足の解消
人材確保が難しいセキュリティ分野において、高いスキルの人材を確保できます。社内の IT およびセキュリティチームは、戦略的なタスクに集中できます。
セキュリティの ROI の向上
完全な SOC (セキュリティオペレーションセンター) を社内に設置することなく、エンタープライズレベルの保護を実現できます。
サイバーリスクおよびサイバー保険料の削減
MDR を利用することで、サイバー保険の要件を満たし、補償範囲と保険料の面で有利になります。2021年には、ランサムウェアの修復費用は平均 140万ドルに達しています。このような背景において、インシデント予防に投資することは賢明といえます。
統合が簡単
MDR ソリューションを既存のセキュリティツールとシームレスに統合すれば、既存のツールを最大限に活用しながら、可視性を高めたり、ワークフローを合理化したりできます。
幅広い業種に対応
MDR は、医療、IT、小売店など、幅広い業種で定評を得ており、あらゆる環境のニーズに合わせて拡張可能です。
MDR サービスの仕組み
検出および対応のプロセスには、主に以下の 6つの作業が含まれます。
- 収集:エンドポイント、ファイアウォール、ネットワーク、クラウド、メール、ID ソリューションなど、IT 環境全体からセキュリティテレメトリ情報を収集します。アナリストがより多くの情報を得ることで、より迅速に対応することができるからです。
- 脅威の検出:脅威インテリジェンスおよびビジネスのコンテキストに基づき、疑わしい活動を特定します。関連性のあるセキュリティイベントはグループ化されるため、調査を効率的に行って、アラート疲れを回避できます。
- 脅威ハンティング:高いスキルのアナリストが、自動防御をすり抜けて潜んでいる脅威をプロアクティブに検索します。サイバー犯罪者がよく使う TTP (戦術、技術、手順) を手がかりに、こうした脅威を見つけます。
- 調査:アナリストは、脅威の範囲と深刻度を評価し、次の対応策を特定します。
- 修復:アクティブな脅威を封じ込めて拡散を防ぎながら、マルウェアを除去します。また、感染システムを隔離します。
- 無効化:根本原因分析を行って攻撃を徹底的に排除し、再発防止対策を強化します。
MDR サービスが適している組織
MDR サービスは、スタッフが不足気味の IT チームから、SOC を社内に設置している企業まで、あらゆる規模の組織に適しています。MDR サービスの取り入れ方は、組織によってさまざまですが、主に以下の 3種類の MDR 対応モデルがあります。
- MDR チームがお客様に代わって完全に脅威対応・管理を行う
- MDR チームが社内チームと協力して脅威対応・管理を行う
- MDR チームが社内チームにアラートを送信し、修復方法のガイダンスを提供し、社内チームが脅威対応・管理を行う
組織の要件に合った MDR 対応モデルを選ぶことが重要です。
MDR と EDR の違い
EDR (Endpoint Detection and Response) は、アナリストがエンドポイントレベルで脅威の検出、調査、対応を行うためのツールです。MDR (Managed Detection and Response) は、セキュリティの専門家が検出、調査、対応を代行するフルマネージドサービスです。MDR サービスは、セキュリティのツールだけでなく、専門チームが背後についているのがポイントです。
MDR と XDR の違い
XDR (Extended Detection and Response) は、エンドポイントだけにとどまらず、ファイアウォール、メール、クラウド、ネットワーク、ID まで、幅広いデータを可視化します。EDR と同様、セキュリティチームにとって強力なツールとなります。MDR サービスプロバイダーはお客様に代わって XDR を適宜使用し、環境全体から積極的に脅威を監視、ハンティングして、対応を行います。
MDR と SIEM の違い
SIEM (Security Information and Event Management) は、既存のセキュリティツールからデータを収集・分析し、潜在的な脅威にフラグを付けるテクノロジープラットフォームです。一方、MDR は人間主導のフルマネージドサービスであり、テレメトリ情報の分析から、脅威の調査、対応、無効化までをお客様に代わって行います。
MDR と MSSP の違い
MSSP (Managed Security Services Providers) は、ファイアウォールの設定、ポリシーの管理、アップデートの適用など、セキュリティツールの継続的な管理に重点を置いています。一方、MDR サービスは、24時間 365日体制の脅威検出および対応に特化しています。ツールの管理ではなく、アクティブな脅威を迅速かつ効果的に阻止することを主眼としています。
MDR プロバイダーの種類
MDR プロバイダーは主に 3種類あります。
- 既存のテクノロジーを活用:複数のセキュリティツールからデータを取り込みます。ただし、アラートを発することが中心で、サポートは限定的です。分析の深さや、スピード、対応の面ではやや劣り、効果的なアクションに結びつかないケースもあります。
- 単一ベンダー型:MDR プロバイダーが独自のセキュリティ製品を使用して、MDR サービスを提供します。製品の統合レベルは高いですが、顧客がすでに別のセキュリティ製品を使用している場合は、完全な置き換えが必要となります。また、できることはそのベンダーが提供している製品の機能にとどまります。
- 完全にフレキシブル:上記の長所を組み合わせたモデルです。顧客がもつ既存のセキュリティ製品をそのまま使用できるため、製品の置き換えは不要です。また、MDR プロバイダー独自のツールも統合して、対応力を強化できます。
MDR サービスプロバイダーの選び方
MDR サービスプロバイダーを選ぶ際は、次の点を検討しましょう。
- 専門知識の深さ:脅威インテリジェンスやセキュリティ専門知識の深さはどれくらいか?
- サービスモデル:組織構造やセキュリティ目標に一致した対応モデルを提供してくれるか?
- スタッフ数と規模:専門スタッフの数は?グローバルにサービスを展開しているか?
- 業界内での実績:同業者内で定評があるか?自社と似たような規模および構造の組織にサービスを提供した実績があるか?
- 24時間 365日体制:24時間 365日体制のサービスをどうやって提供しているか?SOC をグローバルに設置しているか、または、その他の方法で実現しているか?
- 対応スピード:脅威の検出、調査、無効化に要する平均時間は?
- テクノロジーの統合:既存のツールと統合して ROI を向上させ、運用を簡素化できるか?
- 顧客満足度:顧客の評判や、導入事例のコメント、独立系レビュープラットフォームでの評価はどうか?
- 独立系評価機関: Gartner Peer Insights や IDC MarketScape などの第三者機関からの評価はどうか?
- 対応費の補償:インシデントが発生した場合、対応費の補償はあるか?ある場合、補償の範囲はどの程度か?
MDR 料金の比較
社内で SOC (セキュリティオペレーションセンター) を構築・運用するのにかかる費用と、ソフォスの MDR サービスの料金を比較できます。
実績のある Sophos MDR サービス
Sophos MDR (Managed Detection and Response) は、エンドポイント、サーバー、ネットワーク、クラウド、メールなど、環境全体を対象に専門家主導で脅威の検出、調査、対応を行うサービスであり、世界で広く定評を得ています。
2024 Gartner® Voice of the Customer の MDR 分野で Customers’ Choice にも選出されており、あらゆる規模の組織において、リスクの軽減や、高度な攻撃の阻止に貢献し、顧客に安心を提供しています。
MDR サービスについて詳しくは、MDR ソリューションのパンフレットまたはMDR バイヤーズガイドをダウンロードしてご覧ください。導入については、ソフォスまでお気軽にお問い合わせください。
関連するセキュリティトピック:エンドポイントセキュリティとは?