MDR (Managed Detection and Response) とは?

Sophos MDR ソフォス ランサムウェア レポート

Managed detection and response (MDR) とは、テクノロジーソリューションだけでは防ぐことができないサイバー攻撃の検出と対応の専門家が 24時間年中無休体制で提供するマネージドサービスです。人間の専門知識と、保護テクノロジーおよび機械学習モデルを組み合わせることで、MDR アナリストは、人間主導型の高度な攻撃を検出、調査、無力化し、データ侵害やランサムウェアを防ぎます。

MDR サービスの需要は急増しています。Gartner 社は 2025年までに 2社に 1社が MDR サービスを利用することになると予想しています。

MDR が重要となる理由

実際問題として、テクノロジーですべての攻撃を阻止することはできません。今日の攻撃者は十分な資金力を持っており、窃取した認証情報や設定ミス、正規の IT ツールを悪用して、防御テクノロジーを回避しながら攻撃手法を進化させ、産業化しています。

攻撃者を確実に検出して無力化する唯一の方法は、セキュリティ運用の専門家が 24時間 365日監視することです。しかし24時間体制での専門家によるサポートは、多くの組織にとって現実的ではないため、企業が専門的な MDR (Managed Detection Response) プロバイダに頼る傾向が高まっています。

MDR サービスが提供するものとは?

MDR サービスの内容はさまざまですが、基本的に以下の作業が含まれます。

  • 24時間年中無休の専門家による脅威監視と対応
  • 専門家によるの脅威ハンティング
  • 脅威の封じ込め: 攻撃の遮断、拡散の防止
  • 本格的なインシデント対応: 脅威の完全な排除
  • 根本原因解析: 再発の防止
  • セキュリティ対策の徹底: セキュリティの設定や状態のチェック
  • 週次および月次レポート

MDR サービスの仕組み


検出および対応のプロセスには、主に以下の 6つの作業が含まれます。

  1. 収集 - エンドポイント、ファイアウォール、ネットワーク、クラウド、メール、ID ソリューションなど、IT エコシステム全体からセキュリティテレメトリ情報を収集します。アナリストがより多くの情報を得ることで、より迅速に対応することができるからです。
  2. 脅威の検出 - 脅威インテリジェンスやビジネスコンテキストをデータに追加して、全体像を把握します。関連するセキュリティイベントをクラスタに分類し、完全かつ効率的な調査を実施します。
  3. 脅威ハンティング - 高度なトレーニングを受けたアナリストが、脅威をプロアクティブに検出します。サイバー犯罪者が一般的に使用する戦術、手法、手順 (TTP)、およびセキュリティツールを回避する可能性のある脅威を探します。
  4. 調査 - アナリストが脅威の範囲と深刻度を判断し、対処方法を決定します。
  5. 修復 - マルウェアを拡大を防ぎます。 

  6. 無効化 - 根本原因解析を実行し、攻撃者を完全に排除して再発を防止します。

     

MDR が適している企業

IT リソースが限られている小規模企業から社内に SOC グループを持つ大業まで、あらゆる業種のあらゆるタイプの組織が MDR サービスを活用しています。組織が検討すべきポイントは、MDR サービスをどのような形で利用するかという点です。MDR レスポンスモデルには、主に次の 3つがあります。

  • MDR チームはお客様に代わって脅威対応を完全管理
  • MDR チームは社内チームと協力して脅威への対応を管理
  • MDR チームは社内チームに警告を送信し、改善のガイダンスを提供

組織の要件に合った MDR レスポンスモデルを選ぶようにしましょう。

MDR プロバイダの種類

MDR プロバイダは主に 3種類あります。

  1. 既存のテクノロジーを活用 - 各種ソースからセキュリティ情報を収集し、警告を提供します。対応までは行わないのが一般的です。また、分析のスピードや深さに限界があります。
  2. 単一ベンダー - セキュリティベンダーが自社製品を使って MDR サービスを提供します。この場合、テクノロジーツールと MDR サービスが統合されますが、既存のサイバーセキュリティツールの置き換えが必要な場合があります。自社製品が活用可能な範囲で対応が提供されます。
  3. 完全フレキシブル - 上記の長所を組み合わせたタイプです。すでに導入されているセキュリティツールの活用も可能ですし、MDR プロバイダの自社製品と組み合わせて利用することで、より深い対応を提供することもあります。 

MDR を使用するメリット

  1. 優れたな防御力 - MDR サービス活用のメリットは、社内でセキュリティ運用を行うのに比べ、ランサムウェアや他の高度なサイバー脅威に対する防御力が飛躍的に向上する点です。また、MDR プロバイダのアナリストの幅広い経験と深い知識を活用することもできます。MDR ベンダーは、一社のみならず、顧客となるすべての組織における大量かつ多様な攻撃を経験するため、社内だけでは得ることができないレベルの専門知識を提供することができます。
  2. IT チームの負担を軽減 - 脅威の検出および対応作業は、時間がかかるだけでなく、いつ発生するか予想がつかないものです。緊急の作業に追われると、戦略的な (あるいはもっとやりがいのある) 課題への着手が遅れます。MDR サービスを使用することで、IT チームに余裕が生まれ、それら本来のビジネス戦略に取り組めるようになります。
  3. 24時間 365日体制の保護 - い津発生するかわからない攻撃に備えて攻撃者は、IT チームがオンラインである可能性が低い時間帯である夜間、週末、休日に活動的になります。したがって、脅威検出と対応は 24時間体制で行わなければなりません。営業時間内だけでの対応では、組織が危険にさらされた状態になるからです。MDR サービスは、24時間体制のサポートにより、お客様の心の平穏と安心感を提供します。IT チームにとって、これは言葉通り、夜安心して眠れることを意味します。また、MDR プロバイダーに頼ることで安心でき、個人の時間を取り戻すことができます。24時間年中無休の専門家による対応と、常に高いレベルの体制が提供され続けることは、管理職やお客様にデータと組織そのものが十分に保護されているという強い安心感をもたらします。
  4. を増やさずに、専門知識を強化人員 - 脅威の検出および対応は複雑な作業であり、担当者には特殊なスキルが要求されます。そのため、人材不足が深刻化しており、セキュリティアナリストを雇用するのが困難になっています。 MDR サービスは専門知識を提供するため、人員を増やすことなくセキュリティ運用機能を拡張できます。
  5. サイバーセキュリティの ROI を向上24時間 365日体制の脅威ハンティングチームを社内で維持するには高額な費用がかかります。24時間体制のシフトを組むには、セキュリティスタッフが少なくとも 5~6人は必要となるでしょう。スケールメリットを活用することにより、MDRサービスは、組織のセキュリティを高いコスト効果で確保し、サイバーセキュリティ予算をより有効に活用できる手段を提供します。 ス

さらに、保護を強化することで、MDRサービスは、大規模な出費を伴うデータ漏洩のリスクを大幅に軽減し、重大インシデントに対応する際の経済的負担をなくします。中規模組織におけるランサムウェア攻撃の修復にかかる平均コストが2021年⁶には 140万ドルに達したことを考えると、予防への投資は、経済的な観点からも賢明な判断であると言えます。

現在使用しているセキュリティテクノロジーと統合可能なベンダーを選択することで、既存の投資を活用できます。また、MDR サービスを利用することで、サイバー保険で規定されているセキュリティ対策要件を満たせるようになり、保険料や補償内容の面でも有利になります。

MDR と EDR (Endpoint Detection and Response)、XDR (Extended Detection and Response) の違い

MDR と EDR (endpoint detection and response)、XDR (extended detection and response) を混同しないよう注意が必要です。

MDR、EDR、XDR はすべて、脅威の検出および対応を目的としていますが、EDR と XDR は潜在的な脅威をハンティングし、調査するためのツールです。一方、MDR は、セキュリティベンダーのアナリストがお客様に代わって脅威をハンティングし、調査、無効化までを行うサービスです。

Endpoint Detection and Response という名称が示すように、EDR ツールはエンドポイント保護テクノロジーと連係して動作します。一方、XDR ツールはエンドポイントだけでなく、ファイアウォール、メール、クラウド、ID、モバイルのセキュリティソリューションなど、幅広い情報源を活用して、より優れた可視性と洞察を提供します。ソフォスでは、業界最先端の EDR および XDR ソリューションを活用して、MDR サービスを提供しています。

MDR と SIEM (Security Information and Event Management) の違い

  • SIEM は、既存のセキュリティツールからデータを収集するテクノロジーです。収集した情報を総合的に分析し、異常を特定します。
  • MDR は、脅威の専門知識、調査、対応能力をもつ専門スタッフがテレメトリ分析情報を取り入れながら提供するサービスです。

MDR と MSSP (Managed Security Services Provider) の違い

MDR サービスは、脅威の検出および対応に特化しています。セキュリティ技術の導入や、ポリシーの更新、パッチの適用、アップデートのインストールなど、日常的なサイバーセキュリティの管理作業などは対象外となります。MSP (マネージド サービス プロバイダ) は、そういったサポートを求めている組織に対して、IT セキュリティ管理サービスを提供します。

MDR サービスプロバイダの選び方

MDR サービスを選ぶ際は、以下の点を検討するようにしましょう。

  • サービスの範囲、レベル脅威インテリジェンスや専門知識のレベル
  • サービスモデル (要件に合っているかどうか)
  • スタッフの総数
  • 該当業界での実績
  • 24時間 365日体制の仕組み世界各地に SOC (security operations center) があるかどうか
  • 脅威の検出と対応にかかる平均時間
  • 既存のセキュリティ製品への対応
  • 利用者の評判
  • 独立評価機関によるテスト結果
  • セキュリティ侵害に対する補償の有無補償がある場合のその範囲

Sophos MDR によるセキュリティの成果の最大化

Sophos MDR (Managed Detection and Response)  は、世界トップクラスの MDR サービスです。Sophos MDR を利用すれば、コンピュータはもちろん、サーバー、ネットワーク、クラウドワークロード、メールアカウントまで、幅広く保護することが可能です。Sophos MDR の利用については、ソフォスまでお問い合わせください。

ソフォスにお問い合わせ

 

関連するセキュリティトピック: エンドポイントセキュリティとは?

サイバーセキュリティニュースを確認