MDRの定義
マネージド検知対応サービス(MDR)とは、お客様に代わって脅威の検知と対応を請け負うセキュリティサービスです。MDRの活用により、組織は低コストですぐに役立つセキュリティ オペレーションセンター(SOC) を運用することができるようになります。
セキュリティ組織で調達を担当している人は、まず、「MDRって何ですか?」と聞いてくるかもしれません。 すでに脅威の検知対応(D&R)については知っているはずです。 その上でこのような質問をしているということは、検知対応の責任について自信がないことを示しています。 これは、適切な検知対応体制の構築のために必要となる、セキュリティ担当者、専門知識、リソース、プロセスなどが欠けていることを示しているのかもしれません。
有能な マネージドセキュリティサービスプロバイダー(MSSP )は、企業と契約して SOC-as-a-Service(SOCaaS) パートナーとして機能し、企業にほぼすべてのサイバーセキュリティサービスを提供できます。 MSSPは、D&Rのような特定の分野でSOCの人員を迅速に拡張することもできます。
Gartnerによると 、MDRプロバイダとは、テレメトリ(ログ、データ、その他のコンテキスト情報)を分析するほか、脅威ハンティングとインシデント管理を通じて、実用的な結果を提供できるものとされています。これにより、MDRのお客様はセキュリティ体制を強化し、ビジネス上の優先事項に集中することができます。
MDRはどのような課題に対処していますか?
MDRには、アナリストの業務環境改善をはじめとする、以下のような利点があります。
- アラート疲れを軽減 : 誤アラートが多いと、アナリストはその処理に追われ、本来対応すべきアラートに気付かなくなる可能性があります。またはチーム内の人数が少ない場合、正しくアラートを調査できなくなることもあります。MDRは、本当に対応が求められる重要性の高いアラートを調査・精選することで、チームを支援します。
- 脅威の早期検出: SOCの負荷が大きすぎると、リアルタイムで脅威を確認したり対応できなくなる恐れがあります。MDRプロバイダは、お客様に代わって脅威の検知と対応を実施し、また精査されたアラートのみをお客様に提供することで、SOCの脅威対応時間を短縮することができます。脅威インテリジェンスと組み合わせたリアルタイム分析により、脅威を能動的に特定することもできます。
- セキュリティチームを拡張 : 予算、ノウハウ、人材などの不足といった課題は、企業のセキュリティ状況に悪影響を及ぼす恐れがあります。チームは、脅威検知、アラートのトリアージ、マルウェア分析、インシデント調査、対応など、すべてを大規模に実行する必要があります。
MDRをチームの一員として活用することにより、セキュリティチームは、限られたリソースで責任を果たすことができます。MDRプロバイダのD&Rに関する専門知識とリソースを活用することで、社内で同様の組織を構築するのと比較して少ない予算と時間で、諸問題の解決を図ることができます。
- セキュリティの成熟度を加速: スタートアップ企業や過去に大きな攻撃に遭わなかった業界の企業の場合、セキュリティ的観点で未熟である場合があります。未熟なセキュリティプログラムでは、今日の多動的な攻撃環境に対応できず、最終的に悲惨な脅威に直面することになります。この問題に予算をもって対処するというのは良い考えではありますが、成功には戦略的な人員計画が必要です。
MDRプロバイダは、セキュリティタスクを引き受けるだけでなく、セキュリティプログラムの改良や拡張についてのアドバイスもしてくれるため、社内のSOCスタッフは、セキュリティの成熟度を高めるための戦略的なプロジェクトに集中できるようになります。
MDRはどのように機能しますか?
MDRは、プロバイダのSOCチームが24x365でのセキュリティ運用を提供することで、お客様のセキュリティ能力を高めます。また、MDRは即時的なSOCの人員拡張を実現し、以下の項目の改善に繋げます:
- 脅威の検出
- 脅威の分析
- 脅威の調査
- 脅威への積極的な対応
- 脅威以外の優先事項に注力
MDRは、お客様の環境全体を隙なくカバーすることで、悪意のあるアクティビティがいつどこで発生しているのかに関する可視性をセキュリティ担当者に提供します。こうしたMDRプロバイダは、さらに以下のようなサポートを提供することができます:
- 標的型脅威を特定
- 影響を受けるシステムの修復
- 脅威の排除
- 影響を受けるシステムを将来にわたってより適切に保護するための推奨事項を提供
- 無害なアラートを除外し、本当に問題となる脅威だけを報告
MDRプロバイダを導入する最終的な目標は、多額の投資や負担、人材採用や育成にかかる時間やコストを軽減しつつ、即活用可能な検知対応プログラムを導入し、社内のセキュリティプログラムの質を高めることにあります。
MDRの利点は何ですか?
MDR利用の利点は様々ですが、中でも負担の少ないSOC環境を構築できる点が重要です。その他にも、適切なMDRパートナーを選択することで以下のような利点が得られます。
- セキュリティ態勢の改善 : 専門家チームの導入で検知対応機能を拡張することで、リスクの早期発見、攻撃面の縮小などを実現するほか、デジタルフォレンジック・インシデント対応(DFIR)手法で調査を行う準備を整えることができます。
- 投資対効果:MDRパートナーは、適切な期間(3〜5年)で有意義なROIをもたらさなければなりません。例えば、Rapid7のMDRサービスを導入したお客様は、3年間で平均約5.5倍のROIを実現しています。アラートの検知、調査、対応を効率化することで、セキュリティ組織はコスト削減を実現し、他の場所にリソースを再投資することができます。
- 検知対応ツールへの提供 : MDRのお客様は通常、プロバイダの提供する検知対応ツールを利用することができます。また、基盤となるプラットフォームについてのトレーニングも受けられます。また、そのプラットフォームを活用した、独自のアラート調査を実行することもできます。加えて、ネットワークトラフィック分析、ユーザー行動分析(UBA)なども提供されます。
- 脅威または侵害の修復の迅速化 : 信頼できるMDRパートナーなら、週に修復に費やす所要時間を時間単位から分単位に減らすなど、SOC修復能力の向上を実現できます。修復の平均時間は、MDRプロバイダがお客様の環境に合わせて特別に調整したアクション計画を作成することで大幅に短縮されます。
- ネットワーク分析による迅速な調査: 優れたMDRプロバイダーは、ネットワークデバイスデータを迅速に取り込んで、顧客のために機能させることができる必要があります。 ネットワークデータは軽量で簡単に検索でき、ネットワーク内の攻撃者の正確な場所をすばやく特定して、侵害の範囲を特定できます。 このデータを活用することで、アナリストはアクションを実行し、イベントを エンドポイントに関連付けながら、ネットワーク層全体で何が起こっているかを理解することができます。 このプロセスは、脅威を早期に検出するだけでなく、調査にコンテキストを追加して攻撃者の動作をよりよく理解するのに役立ちます。
MDR の使用例
MDRはさまざまな理由で有利なソリューションとなりえますが、以下のようなケースで、特にマネージドサービスパートナーがお客様のセキュリティチームに付加価値を与えることができます。
- 侵害の影響を受けたユーザーと水平展開を検出
- 面倒な手動タスクを自動化し、アナリストの手間を軽減
- ホストとエンドポイントの封じ込めを行い、マルウェアの拡散やその他の攻撃により起こりうる被害の範囲を制限
- ユーザー行動分析、ログ分析、攻撃者行動分析から洞察を収集することで、攻撃者をより正確に検出
- 様々なテクノロジー環境からデータを取り込むことで、可視性を高めて脅威を検証
- 特定のセキュリティ制御を実装することで、フレームワークへの準拠を維持
MDR 対 その他のマネージドセキュリティソリューション
MSSPまたはEDRとMDRの大きな違いは、SOCが獲得または強調しようとしている機能と、そうした特定のサービスに割り当てられる予算にあります。
MDRとMSSPの比較
MSSPは幅広いサービスを提供し、MDRはそのうちの1つである場合もあります。検知対応ソリューションのみが必要な場合には、SOC-as-a-Serviceソリューションを提供するMSSPのサービスは冗長である可能性もあり、その場合、MSSPとの契約は余計な支出となることも考えられます。
MDRとEDRの比較
EDRは、ネットワークとクラウドにまたがる大規模な検知対応ソリューションに組み込むべきソリューションで、通常、エンドポイントの脅威と封じ込めに特に焦点を当てたサービスです。マネージドサービスの一部としてEDRを提供するMDRパートナーを選ぶべきでしょう。
大規模なソリューションでは、脅威の検出、ハンティング、封じ込め、インシデントの検証と対応、行動分析の自動化などの機能が含まれます。そして、スタンドアロンのEDRソリューションやマネージドサービスよりも、攻撃の詳細を深く掘り下げられるべきでしょう。
MDRサービスの選び方
MDRプロバイダーのサービスを調査し、利用することは簡単な作業ではありませんが、自社内で検知対応プログラムを立ち上げる時ほど時間を費やす必要もありません。 MDRソリューションを探しているのは、お客様自身であり、SOCの中核的な課題とニーズを理解しているのはお客様だけなのです。
以下は、SOCの特定かつ固有のニーズに応じた、8つの主要な機能に対するMDRプロバイダ評価の基準です。
- MDRアナリストの経験値
- 検知対応の応用能力
- SOCの一員として信頼できるパートナーシップ
- 脅威ハンティングの提供
- サービスへの期待値ともたらされる成果が明確
- MDRの専門知識と深い造形
- セキュリティオーケストレーション、自動化、応答(SOAR)
- 競争力のある価格設定
MDRの詳細は
MDRベンダーの比較
MDR、MEDR、SOCaaS : 最適なプロバイダの見分け方
マネージド検知対応サービス(MDR): ブログからの最新ニュース