MDR、MEDR、SOCaaS - 最適な選択肢はどれ？

しかし、世の中にはさまざまな種類のマネージド・サービス・プロバイダーが存在するため、どのタイプのサービスが自社に適しているかをどのように判断すればよいのでしょうか。また、どのようにすれば効果的にプロバイダを面接し、適切なベンダとD&Rスイートを構築し、同時に脅威に対してセキュリティ・プログラムを強化し続けることができるでしょうか。

実際に付加価値を与えてくれるマネージド・サービス・パートナーを探し始めている企業にとって、まず最初に行うべきいくつかの脚慣らしがあります。マネージド・サービス・プロバイダーには、D&Rの流れに沿って、次のような多くのアプローチがあります。

• マネージド・ディテクション＆レスポンス(MDR)
• マネージドエンドポイントディテクション＆レスポンス(MEDR)
• マネージド・セキュリティ・サービス・プロバイダー（MSSP）

最後の MSSP は、SOCaaS (Security Operations Center-as-a-Service) のアウトソーシング、MDR、または SIEM (Security Information and Event Management)、ファイアウォール、脆弱性リスク管理などのセキュリティツールの管理など、多くの専門サービスを支援できるプロバイダーを指す包括的な用語です。このように、適切なマネージド・サービスを探すとなると、多くのベンダーと話をすることになります。各ベンダーは、セキュリティ防御の強化を支援すると言い、優れた人材を擁し、最高のテクノロジーを使用し、お客様の成功を確実にするためのプロセスを備えていると言うでしょう。

課題は、どのベンダーのマーケティング資料も同じように聞こえるようになることです。結局のところ、どのプロバイダーの戦略があなたのプログラムのニーズに最も適しているかを判断する必要があるのです。ここでは、3つのタイプのマネージドサービスを詳しく見て、あなたの組織に最適なものを決める手助けをしましょう。

MDR

MDRプロバイダーは、お客様と協力して、お客様の環境全体を可視化し、完全にカバーすることができます。これにより、セキュリティ担当者は、悪意のある活動がいつ、どこで行われているかをより的確に把握することができます。

MDRプロバイダーは、お客様のチームの延長として、ヘッドカウントを提供し、24時間365日体制でカバーすることで、運用上の課題の解決を支援します。また、MDRパートナーは、攻撃者の行動を迅速に発見し、問題が拡大する前にそれを阻止するための専門知識と技術を提供することができます。

ますます多くの企業が、標的型攻撃、つまり個々の組織の防御に侵入するために設計された特定の攻撃の対象となりつつあります。MDRプロバイダーは、標的型攻撃の特定、影響を受けたシステムの修復、脅威の排除と影響を受けたシステムの今後の安全性向上のための推奨事項の提示を支援するパートナーになります。

MDRプロバイダーの中には、「フェンス越しにアラートを投げる」だけでなく、クライアント自身に解析とトリアージを行わせているところも少なくありません。最近では、より多くの MDR プロバイダーが、セキュリティ組織のより戦略的なパートナーになることに、自らの価値と利益を見出すようになっています。MDRプロバイダは、セキュリティ対策の推進、サイバー耐性の構築、および顧客との連携により、脅威の状況をより深く把握するための支援を行っています。

• 事故後の調査インサイトを提供する
• 良性の事象を除外し、真の正の脅威のみを報告する。
• テーラーメードの改善策と緩和策の提案

XDRの役割

最近では、Rapid7を含むマネージドサービスプロバイダーが、拡張検知・応答（XDR）を包括的なMDRソリューションに統合しています。これにより、より強力でプロアクティブなD&Rプロセスを構築することができます。   

• エンドポイントからクラウド、そしてさらにその先へと行き来するデータには境界線がないことを認識する
• アラートの解析が自動的に脅威インテリジェンスに組み込まれるため、セキュリティチームは急な分析から解放され、より脅威ハンティングに集中することができる
• 高忠実度の検知と実用的なテレメトリをキュレーションし、効率的な対応を実現する

これらはすべて、D&Rで可能なことを拡張し、脅威の消滅に積極的に取り組む上で大きなメリットとなります。しかし、XDR をアプローチに取り入れる MDR プロバイダは、単にサービスのリストに「X」の文字を追加して終わりというわけにはいきません。XDR は、最も近いエンドポイントから侵害されたユーザーアカウント、ネットワークトラフィック、クラウドソースなど、攻撃対象領域全体を実際に制御および可視化できるようにする必要があります。

InsightIDRのような製品は、より積極的な取り組みに重点を置いた一貫した戦略に組み入れることで、これらの異種ソースから遠隔測定を取り込み、データを相関させ、潜在的な脅威に対してより大きな文脈を提供するソリューションとなり得ます。

MEDR

MEDR は MDR の一種であり、エンドポイントプロテクション技術の展開の上に置かれるアドオン管理サービスとして位置づけられています。MEDRは、エージェントが設定されている場所を問わず可視化できるなどの利点がありますが、EDR中心のアプローチでは、脅威の全容とその範囲を示すことはできません。 

しかし、多くの侵害はエンドポイントから始まっています。なぜでしょうか。攻撃者は、ユーザーのノートパソコンなどのエンドポイントを侵害することで、ファイアウォールをはじめ、あらゆるセキュリティ対策を簡単に回避することができます。そこからネットワーク全体に侵入し、社内外の貴重なデータを窃取し、その過程で企業の評判を急速に失墜させることができるのです。たとえすぐに見つかったとしても、彼らは何をやってのけたのでしょうか？

だから、エンドポイントにこだわることが重要なのです。これは紛れもない事実です。EDRベースのサービスは、マネージド・サービス・プログラムの中で強力なツールです。EDRベースのサービスは、マネージド・サービス・プログラムの中で強力なツールであり、次のような利点があります。

• アンチウイルス（NGAV）や悪意のあるファイルの実行停止など、エンドポイント予防プラットフォーム（EPP）エージェント機能を統合した予防面
• 攻撃されたエンドポイントを早期に検知する
• ファイル整合性監視（FIM）機能により、特定のエンドポイントにおける特定のファイルの変更にアラートを出すことができます（お客様自身で監視している場合）。

しかし、エンドポイントだけに焦点を当てると、潜在的な脅威との戦いにおいて重要な遠隔測定を提供できる、ネットワークやクラウドに広がる重要な分析が欠落してしまいます。MEDRは通常、ネットワーク全体のデータ、ユーザー分析、コンプライアンス行動を分析し、実用的な洞察を得て、インシデントに効果的に対応するためにそれらを使用する能力を欠いています。そのため、エンゲージメントモデルに欠点があります。MEDRの一部の企業は、重い作業のほとんどを技術に依存することになります。予防は、脅威を早期に食い止めるためにあるのです。

しかし、攻撃者がこのポイントを通過した場合、マネージド・サービス・プロバイダーは、EDRツールを使用してアラートを処理するための自動アクションを実行するか、最悪の場合、調査や対応作業を管理するためにそのアラートをクライアントに渡すかもしれません。(そして、自動化されたEDRアクションが素晴らしいと思うのであれば、人間の介入なしに自動化されたレスポンス・アクションを取ることに関連するリスクについて読むことをお勧めします)。

SOCaaS

SOCaaS。複雑な略語ですね。しかし、「Security Operations Center-as-a-Service」というコンセプトは、強力で健全なサイバーセキュリティ・プログラムの実装と管理という、現代企業の重いニーズを満たそうとしているのです。包括的な SOCaaS オプションを提供する MSSP は、セキュリティ担当者がビジネスの他の部分の革新に時間とエネルギーを集中できるようにするという、最終的な利益を提供することができるはずです。 

プロアクティブに防御し、脅威に対応し、顧客に代わって（できれば）24時間体制でサポートを提供できる専門家集団というのが、近年よく言われるSOCaaSの定義に近いかもしれません。SOCaaSは、企業にとって仮想的なSOCであり、チームメンバーが日常業務を遂行するための戦術的なコンソールとして機能することができます。また、より大規模で長期的なセキュリティ・トレンドの中で戦略を練る手助けをすることもできます。では、SOCaaSプロバイダは、セキュリティ・チームの戦略的な検知・対応センターとしてどのように機能するのでしょうか。

• 高度なSIEM機能 - 毎日何十億ものセキュリティ・イベントが発生する可能性がある中で、SIEMは本当にフォローアップすべきイベントの優先順位付けを行うのに役立ちます。優れたSOCaaSプロバイダは、ユーザと攻撃者の行動分析、パフォーマンス指標、インシデント対応、およびエンドポイント検出を考慮に入れることで、適切な対応計画をコンテクスト化します。
• 人的要素 - 今日のセキュリティ人材の市場は非常に競争が激しく、企業のトップにとって、有能な人材を調達し、育成し、維持することは大変な作業となります。これは、サイバーセキュリティの雇用における多様性を維持する取り組みにおいて特に当てはまります。たとえば、Forrester によると、現在、世界のセキュリティ専門家に占める女性の割合はわずか 24% です。
• 確立されたプロセス - 潜在的な脅威を正確に特定し、優先順位をつけ、対処するためには、一般的に、長期間のテストを通じて確立された極めて高度なプロセスの枠組みが必要です。SOCを構築し、主要な人材を集めたとしても、効率的に連携し、脅威に効果的に対応するために必要な試行錯誤を行う必要がないことは、企業にとって大きなメリットとなり得ます。 
• D&Rの専門知識 - SOCaaSを利用する目的が既存のD&Rプログラムを補強することではない場合、その分野におけるプロバイダの専門知識を吟味することは非常に重要です。上記のように、最新のMDRプロバイダは複数のテレメトリのソースを活用して脅威を検知し、対応します。しかし、SOCを完全にアウトソーシングする場合、顧客側のセキュリティ担当者は、ベンダー組織におけるSOCのアウトソーシング運用の全体像の中でD&Rの専門性がどのように位置づけられるかを把握する必要があります。 
• コミュニケーション - SOCaaSプロバイダーは、技術やセキュリティに限らず、優れたコミュニケーション能力を備えていなければなりません。特に、企業やその評判、利益に影響を及ぼす可能性のある深刻な脅威について、プロバイダは顧客の顧客や経営陣にどのように情報を提供するのでしょうか？また、定期的に連携する専任のPOC（Point-of-Contact）やチームがあるか？

これが、マネージド・サービスを求めるセキュリティ・チームが選択できるメニューのように見えるのなら、それは正しいです。しかし、ここではSOCaaSをビジネスの完全なアウトソーシング部門として議論しています。何らかの理由 - 事業の他の部分でスピードと成長が必要である、優秀なセキュリティ専門家の採用力が不足している、などです。- SOCaaSプロバイダと連携し、すべての機能の実行、監視、管理、およびサポートをプロバイダに依存するセキュリティの「スケルトン・クルー」を配置したいと考える企業もあるかもしれません。 

結論：ニーズに合ったマネージドセキュリティサービスパートナーを選択する

セキュリティ組織がマネージド・サービス・プロバイダーを検討しているということは、既存のセキュリティ・チームが1日にこなせないような面倒な作業や技術的な運用作業を軽減したいと考えている可能性が高いことを意味します。あるいは、24時間体制のセキュリティ・サービスを提供するために、専門知識の増強が必要な場合もあるでしょう。また、深い分析と実用的な洞察を提供するパートナーを見つける準備ができていることを意味し、あなたはそれを見つけることができます。

• 何が起こっているのか、そして...
• 会社が心配するようなことなのでしょうか？

その後、専門プロバイダーは、どのように対応すべきかを提案することができ、さらに、あなたに代わって行動を起こすことができるはずです。なぜなら、結局のところ、すべてはあなたが達成しようとしている結果次第だからです。D&Rサービスをターンキーで提供することで、お客様のチームは他の重要な業務に集中することができます。従来のMSSPによるシンプルなエンドポイントモニタリング？それとも、SOCの運用を外部に委託し、一部のセキュリティ対策だけでなく、あらゆるセキュリティ対策に対応できるようにしたいと考えていますか？

D&Rの強化に特化した包括的なソリューションをお探しの場合は、XDRの機能を持つMDRプロバイダーを活用することをお勧めします。

確かに予算はかかる。しかし、ほとんどの場合、その予算はオープン・ヘッドカウントと同じようなコストに充てられます（環境の規模にもよりますが）。資本支出（CapEx）コストは、雇用、トレーニング、社内SOCプログラムの構築にかかる継続的な運用コスト（OpEx）と比較すると相対的で、多くの場合、はるかに手頃な価格です。お客様のチームがどちらの結果に重点を置くにせよ、マネージドサービスは全体として、規模に応じたD&Rプログラムの構築を支援する手頃な方法です。

マネージドサービスを決定するための更なる分析をお探しですか？Rapid7の2022年版MDRバイヤーズガイドをご覧いただくか、または弊社までお問い合わせください。

参考資料：

• InsightIDR ユーザーが XDR の成果を達成する 3 つの方法
• MDR Plus脅威インテル。251日間で414件の新規検出（You're Welcome）
• InsightIDRの新着情報：2022年第1四半期を振り返って
• Rapid7のディテクション＆レスポンスワークショップでIR能力を向上させる

本ブログは英語ブログ、"MDR, MEDR, SOCaaS: Which Is Right for You?" の機械翻訳に基づいています。