MDRというセキュリティ関連のアウトソーシングサービスをご存知でしょうか?「セキュリティ対策はしたいけど、MDRについてよく知らない」という方も多いはずです。
MDRの主な役割は、脅威の検出から対応までを一貫して提供することです。具体的には、脅威の監視(検知)、初動対応、調査、インシデント対応などを、専門技術を有したベンダーに代行を依頼します。
本記事では、MDRの概要や注目されている理由、サービスの選び方を詳しく解説します。セキュリティ対策を強化したい方は、ぜひ本記事の内容をご覧ください。
目次
[ 開く ]
[ 閉じる ]
MDRとは
MDRとは「Managed Detection and Response」の略語であり、セキュリティ関連のアウトソーシングサービスのことを意味します。MDRの主な役割は、脅威の検出から対応までを一貫して提供することです。
サイバー攻撃のリスクが増えている現代において、企業が自社だけでセキュリティ対策を行うのはハードルが高いと言えます。急速に進化を続ける脅威に対応するには、セキュリティ人材を育成し、常に脅威を意識する必要があるためです。
その点、MDRを採用すれば、自社のセキュリティ業務をベンダーが代行してくれるため、集中的かつ効率的にセキュリティ対策を行うことが可能です。
EDRとの違い
MDRを理解する上で重要となる要素の一つが、EDR(Endpoint Detection and Response)です。このEDRは、エンドポイントに対する脅威の検出と対応を行う仕組みを指します。
MDRとの違いは、エンドポイントに特化しているという点です。エンドポイントとは、スマートフォンやパソコン、サーバーといったデバイスのことを意味します。EDRは個々のエンドポイントに着目し、そのセキュリティ対策を強化することに主眼を置いています。
SOCとの違い
SOCとは「Security Operation Center」の略語で、企業内に設置されたセキュリティ部門やチームのことです。SOCは主にIT機器やネットワークの監視・分析、加えてサイバー攻撃の検知を行います。
それに対してMDRは、脅威の検出から対応までを担うアウトソーシングサービスであり、特定の脅威に対する対策だけでなく、全体的なセキュリティ状況の改善を目指します。また、MDRは外部のサービスやベンダーを指すため、SOCとMDRは内容が根本的に異なります。
MDRが注目されている理由
MDRが注目されている理由は、大きく以下の3つが挙げられます。
- サイバー攻撃が高度化している
- 高度なセキュリティ人材が不足している
- セキュリティ対策を強化する企業が増えた
それぞれの理由を順番に解説します。
サイバー攻撃が高度化している
近年のサイバー攻撃は手口が高度化し、攻撃の種類も増えています。進化する多彩なサイバー攻撃に対応するために、多くの企業がMDRを必要としているのです。
経済産業省が公表する「サイバーセキュリティ経営ガイドライン Ver 2.0」によると、セキュリティ侵害の発覚経緯は47%が「外部からの指摘」だとされています。
また、約4割の企業がサイバー攻撃を受けた経験があると回答しており、社内だけでサイバー攻撃を対策した場合、攻撃による被害を受けていても、そのことに気付くことができないケースが多々あります。
こういった自社だけでは気付けないサイバー攻撃に対し、脅威の検出、ログの収集、攻撃の監視をするMDRが有効であり、年々その重要性が高まっているのです。
高度なセキュリティ人材が不足している
高度なセキュリティ人材が社内で不足していることも、MDRが注目されている理由の一つです。以前に比べてセキュリティ人材は増えつつありますが、求められる専門レベルが高まり、必要とする企業が増加傾向にあるため、相対的に専門スキルを持った人材が不足しています。
2022年4月にIPA(情報処理推進機構)が公表した「デジタル時代のスキル変革等に関する調査(2021年度)」を見ると、IT人材について事業会社は42.1%が「大幅に不足している」と回答し、「やや不足している」と回答した事業会社は48.6%にまでのぼります。
IT企業でも、全体の9割近くが「大幅に不足している」「やや不足している」と回答しました。この調査から分かる通り、多くの企業でIT人材の不足が起こっています。
専門知識と技術を持つ人材が不足している現代だからこそ、MDRのようなアウトソーシングサービスが注目されているのです。MDRの利用により、セキュリティ人材の不足の穴を埋めることが可能です。
セキュリティ対策を強化する企業が増えた
近年では、Webサイトやアプリケーションを運営する企業が増え、セキュリティ対策が重要な経営課題となっています。その結果、自社だけでセキュリティ対策を一任するのではなく、MDRに依頼する企業が増加しています。
2022年3月に経済産業省が「サイバーセキュリティ対策の強化について注意喚起を行います」を公表し、サイバー攻撃の注意喚起を行ったことにより、多くの企業がセキュリティ対策に乗り出しました。
業界全体でセキュリティ対策の強化が進んだことで、MDRによる専門的な監視と対応が評価され、その導入が進んでいます。
MDRにおける2種類のサービスタイプ
MDRのサービスには2種類のタイプがあります。企業のWebサイト運用の仕方や目的に応じて、選択すべきタイプが異なります。
セミマネージド型
セミマネージド型のMDRは、インシデント(セキュリティ侵害事案)の一部を請け負うサービスです。対応の最終的な判断や責任は、サービスを依頼したユーザー側に委ねられます。
▼セミマネージド型の主なサービス
- 不審なネットワーク動向の検知
- アラートの通知
- 初期対応の提案
一時的な対処をサポートするのが特徴で、その先の攻撃に対するアクションなどはユーザー側で行う必要があります。このタイプは、社内にセキュリティに詳しい人材がいる場合や、最終的な対応を自社のポリシーに基づいて行いたい場合に向いています。
フルマネージド型
フルマネージド型のMDRは、セミマネージド型よりも幅広い範囲でインシデント対応を行うサービスです。セミマネージド型では脅威の検知や通知、事象の分析までにとどまりますが、フルマネージド型では、その先の技術対応まで含まれます。
▼フルマネージド型の主なサービス
- セミマネージド型に含まれる内容
- 脅威に対する技術対応
また、高度な技術を持つ専門家による全面的なサポートも実施します。フルマネージド型は、企業内部にセキュリティの専門家がいない場合や、セキュリティ対策を専門家に任せて他の業務に集中したい場合に有効です。
MDRの主なサービス内容
本項では、MDRの主なサービス内容を4つに分けて解説します。ただし、以下のサービスはあくまで基本的な内容であり、サービスの種類や提供会社によって内容が一部異なる場合があります。
- 監視(検知)
- 初動対応
- 調査
- インシデント対応
各サービス内容を順番に見ていきましょう。
監視(検知)
脅威の監視(検知)がサービス内容に含まれます。外部から脅威的なアクションがあった場合、その内容を検知し、ユーザーに報告するサービスです。
このサービスは24時間365日体制で行われることが多く、企業が自社のネットワーク状況を常時把握できるというメリットがあります。また、監視には特殊な技術や経験が必要となるため、アウトソーシングすることで効果的な監視が可能です。
初動対応
初動対応もサービス内容の一つで、これは脅威を検知した際、その事象を確認するアクションのことです。脅威と判断した場合は、以下のような対応も検討します。
▼初動対応に含まれる具体的なアクション
- デバイスのネットワーク隔離
- セーフリストやブラックリストへの登録
- 専門家による状況確認・対策方針の策定
この初動対応は、脅威の被害を最小限に抑えるための重要なプロセスです。そのため、スピーディかつ正確な対応が求められます。
専門的な知識と経験を持つMDRにこの役割を任せることで、被害拡大の防止と迅速な問題解決に期待できます。
調査
初動対応が完了したら、MDRによる調査に移ります。このフェーズでは、ウイルスやマルウェアの侵入経路、潜伏範囲などを調査し、その結果をレポートとして報告します。
このアクションにより、具体的な脅威の特定、効果的な対策の進め方を検討できるようになるため、サイバー攻撃による被害拡大を防ぐ上では重要です。また、毎月の運用レポートを作成するベンダーが多く、その場合はセキュリティの状態を定期的に把握できます。
インシデント対応
4つ目のアクションとして、インシデント対応について解説します。MDRでは被害内容の詳細を把握するため、デバイスの調査や対応方針の策定を支援します。
▼インシデント対応に含まれる具体的なアクション
- フォレンジック調査(デバイスやネットワーク内の情報調査)
- 不審な挙動の解析
- 脅威に関する通知サービス
MDRのインシデント対応により、脅威からの回復と再発防止のための対策が進められ、今後の脅威に対して迅速かつ効果的に対応できるようになります。
MDRサービスの選び方
MDRサービスを選ぶ際は、3つのポイントを意識することが大切です。事前に以下の要点を把握しておきましょう。
最新の脅威に対応しているか
一つ目のポイントは、最新の脅威に対応しているかという点です。サイバー攻撃は日々進化し、その脅威は高度化しているため、新種のウイルスや高度な攻撃に対応できるサービスを選ぶ必要があります。
サービスを選ぶ際は、ベンダーが最新の脅威情報をどのように取得し、どのように対応しているかを確認しましょう。例えば、リアルタイムで脅威情報を更新しているか、新種のウイルスに迅速に対応できる体制が整っているか、などがポイントです。
24時間365日の運用支援に対応しているか
24時間365日の運用支援に対応しているベンダーが推奨されます。サイバー攻撃はいつ、どこでも起こり得るため、昼夜問わず常に監視し続けるサービスが求められます。
▼確認すべき主なポイント
- 深夜や休日でも迅速に対応してくれる体制が整っているか
- 緊急時の連絡体制はどうなっているか
また、ベンダーと連絡を取り合う最中のレスポンスの早さにも注目しましょう。
高品質なカスタマーサポートは備わっているか
MDRサービスを選ぶ際は、高品質なカスタマーサポートの有無を確認しましょう。MDRサービスは単なる業務委託ではなく、社内のセキュリティチームと連携して対策を進める必要があります。
連携に支障がなく、脅威に対するアクションを効率化するためにも、高品質なカスタマーサポートの有無が選択基準の一つとなります。具体的には、対応スタッフの技術力や経験、対応フローなどを評価すると良いでしょう。
GMOサイバーセキュリティ byイエラエがサイバー攻撃対策を全面的にサポート
画像引用元:GMOサイバーセキュリティ byイエラエ
サイバーセキュリティ対策には複数のアプローチがあり、MDRはその中の一つに過ぎません。MDR以外にも、セキュリティ対策に有効となる手段が多数存在します。
例えば、「GMOサイバーセキュリティ byイエラエ」のようなサービスでも、効果的なセキュリティ対策を施すことが可能です。本サービスはあらゆるサイバー攻撃の脅威に対し、状況に合った対策を徹底的にサポートします。
▼GMOサイバーセキュリティ byイエラエの強み
- 自社のセキュリティの弱点を特定し、対処法まで把握できる
- ホワイトハッカーの技術力であらゆるサイバー攻撃によるリスクを低減できる
- セキュリティコンサルティングサービスで高度化する脅威に常に対応できる
MDRのようなアウトソーシングサービスではなく、自社の判断の基、セキュリティ対策を社内で進めたい場合は、「GMOサイバーセキュリティ byイエラエ」の利用をご検討ください。
まとめ
本記事では、MDR・EDR・SOCの概要、注目されている理由、具体的なサービス内容を解説しました。
サイバー攻撃が高度化している現代において、セキュリティ対策をアウトソーシングサービスできるMDRを利用すれば、さまざまなサイバー攻撃の脅威に対応できます。MDRと言っても2つの種類があり、ベンダーによって特徴が異なるため、サービスを選択する際は慎重に検討しましょう。
なお、セキュリティ対策サービスの利用で脅威を防止したい場合は、「GMOサイバーセキュリティ byイエラエ」の利用も選択肢に入ります。最強ホワイトハッカーの技術力を活用し、最高品質のセキュリティソリューションを提供いたします。選択肢の一つとして、本サービスの利用を検討してみてください。
文責:GMOインターネットグループ株式会社