社内のセキュリティ強化を見据えてEDR製品などを導入したものの、業務負担の多さや知識面の不安から運用に課題を感じている社内IT部門の方へ。MDRサービスの概要や機能、タイプと選び方、比較のポイントなどを、おすすめのMDRサービスと共に紹介します。
MDR(Managed Detection and Response)サービスとは、外部脅威対策に関する製品を、社内の組織に代わって社外のアナリストに運用してもらい、セキュリティ対策の強化に役立てるアウトソーシングサービスです。
セキュリティインシデントに繋がりそうな不審な挙動や脅威を検知し、組織へ通知を行うほか、万が一インシデントが起こった場合も迅速な調査・分析と適切な対応で被害の拡大を食い止めることで、ビジネスリスクを低減します。
しばしば比較対象に挙げられるSOC(Security Operation Center)は、組織内外のセキュリティ監視や対応を行う専門チームのこと。また、セキュリティ対策の中でも「セキュリティイベントの監視」や「ログの分析」「インシデントの検知」などをメインに行います。
CSIRTも同じく、セキュリティインシデントに対応するための専門チーム。SOCが監視・検知を主な役割とするのに対し、CSIRTはインシデント発生後の対応・復旧などを主としています。
EDR、NDR、XDRは、いずれもセキュリティ対策ツール/ソリューションですが、それぞれ監視や管理を行う対象範囲が異なります。MDRは組織のIT環境全体を対象としたセキュリティサービスを指し、EDRやNDRなどと組み合わされて提供されることがほとんどです。EDR、NDR、XDRのそれぞれの違いは以下の通りです。
| EDR(Endpoint Detection and Response) | サーバーやスマホといったエンドポイントの脅威検出・対応 |
|---|---|
| NDR(Network Detection and Response | ネットワーク上のトラフィックの監視・管理 |
| SIEM(Security Information and Event Management) | 組織のセキュリティデータ(ログ・イベント)の統合管理と分析を行う |
| XDR(Extended Detection and Response) | エンドポイントとネットワークに加え、メールやサーバー、クラウドワークロードなども含めて、包括的に監視・管理。EDR、NDR、SIEMのデータ連携と自動化に対応 |
MDRサービスを導入することには、次のようなメリットがあります。
MDRサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
サービスによって多少の違いはありますが、MDRは以下のような機能を持ちます。
| 監視・検知 | 24時間365日監視を行い、インシデントにつながる脅威を検知して通知する |
|---|---|
| 初動対応 | 脅威を検知した部分を隔離するなどして、被害の拡大を防ぐ |
| 調査・分析 | ログをもとに脅威の調査や分析を行い、被害の確認やレポートによる報告を行う |
| インシデント対応 | 脅威への対処や封じ込めを行い、隔離していた部分なども含めてシステムやネットワークの復旧を行う |
MDRサービスには、主に以下のようなタイプがあります。自社のニーズに適したものを選びましょう。
PCやスマホといったエンドポイントの監視・管理を行うEDR製品とMDRサービスがセットになったタイプ。EDR製品を提供しているベンダーが、MDRを提供しているケースも多く見られます。EDR製品と併せて、MDRの導入も検討している場合に向いています。
たとえば「Cybereason MDR」は、Cybereason EDRを利用している方向けのMDRサービスで、ネットワークだけでなく数万台あるエンドポイントも監視。リアルタイムに情報を分析して、脅威を検知します。
エンドポイントにとどまらず、メールソフトやサーバーといった範囲まで監視・管理できるXDR機能を備えるタイプ。EDRよりも幅広いセキュリティ対策を導入したい場合におすすめです。
たとえば「Sophos MDR」では、Sophos XDRを利用することで、99.98%の脅威を自動的にブロック。アナリストは、高度なトレーニングを受けた人間でなければ検出・阻止できない攻撃者の追跡に専念できます。
複数のEDR/XDR製品に対応できるタイプ。既にEDR/XDRを導入済みで、それらに適応するMDRサービスを導入したい場合や、導入予定のEDR/XDRに対応可能なMDRを導入したいという場合に向いています。
たとえば「MSS for EDR」は、Microsoft Defender for Endpoint、Carbon Black、CrowdStrike、Cybereason EDR、Trend Micro XDR などの主要な EDR 製品に対応。環境やニーズに合わせて最適な製品と組み合わせられます。
また、S&Jの「EDR監視サービス(MDR)」では、自社開発のEDR「KeepEye®」のほかに、CrowdStrikeやMicrosoft Defender for Endpoint、ApexOneといった他社EDR製品に対応しています。
特定のEDR/XDR製品に特化したタイプ。導入済みのEDR/XDR製品の種類によっては、特定のMDRのみに対応していることもあるので、事前に確認しましょう。
たとえば「 CrowdStrike Falcon® x マネージドEDRサービス」は、CrowdStrike Falcon®︎に特化したMDRサービス。脅威を検出・分析し、危険度が中度以上のもののみを監視対象とするので、業務負担の軽減につながります。
MDRサービスを比較する際のポイントは以下の4つです。自社が必要とする特性を備えているものを選びましょう。
MDRサービスに監視を委託できるとはいえ、EDR/XDR製品での誤検知や不要なアラートが多すぎると、企業の管理者も確認に時間を要し、負担が増大します。導入時に、通知されるアラート通知を精査するための設定を行いますが、状況により検知すべき脅威の内容も変わっていくため、継続的なチューニングが必要です。
たとえば、「LANSCOPE サイバープロテクション」の「CylanMDR」は、最適なチューニングと独自の検知ルールにより、企業側で確認が必要なアラート通知の件数を月7件まで絞り込めます。
また、「Cybereason MDR」は、企業ごとの基準となる誤検知率や、利用中のサービスのバージョンなどに基づいて、継続的にチューニングを実施。常にプラットフォームを最適な状態に維持します。
多くのMDRサービスは、インシデントの検知・報告及び、端末のネットワーク隔離などの初動対応までを行う「セミマネージド」タイプです。しかし中には、初動対応後の影響や原因の調査・報告、今後の対応方針の検討などの機能も持つ「フルマネージド」タイプのサービスもあります。
たとえば「ESET PROTECT MDR」は、初動対応後の復旧サポートやファイル解析、ログの調査や分析(デジタルフォレンジック)にも対応しています。
また、「CrowdStrike Falcon® x マネージドEDRサービス」のファスト・フォレンジック®オプションでは、インシデントの詳細な調査や報告書へのとりまとめを行い、社内外への説明・報告を支援します。
S&Jの「EDR監視サービス(MDR)」のように、アラート解析で特定された脅威に対して、同様の攻撃の再発抑止となる施策を支援するサービスも。
複数のセキュリティ機器のログを併せて分析することで、「精度を高めたい」「分析作業を効率化したい」という場合には、複数機器のログの分析に対応したサービスを選びましょう。
「MSS for EDR 」は、EDR だけでなくMSS (Managed Security Service)でセキュリティ監視を行っているほかのセキュリティ製品のログも収集し、相関分析を行えます。
また、「CrowdStrike Falcon® x マネージドEDRサービス」では、EDRとほかのセキュリティデバイスのログを統合して相関監視運用が可能。より詳細な分析ができるようになるうえ、運用負荷も低減できます。
多くのMDRサービスは中堅・大手企業向けで、少なくとも100台以上の端末を対象としています。また、サポートが手厚い分、料金も相応の金額となることがほとんど。「中小規模の企業で利用したい」「予算を抑えて最低限の運用を実施したい」といった場合には、それらのニーズに沿うサービスやプランを選ぶ必要があります。
たとえば「ESET PROTECT MDR」は、専任人材や予算に制限がある中小企業向けにLiteプランを用意。脅威検知のカスタマイズやデジタルフォレンジック調査支援などが利用できないなど、サービスの対象範囲は抑えられていますが、中小企業でも導入しやすい価格帯となっています。
主なMDRサービスのうち、EDRを搭載しているタイプを紹介します。
(出所:LANSCOPE サイバープロテクション公式Webサイト)
AIを使った次世代型アンチウイルス製品「CylancePROTECT®︎」を、手厚いサポートで導入できるサービス。オプションサービスの「CylanceOPTICS」を導入することで、EDR機能が利用できるようになる。
AIがファイルの特徴から判定を行い、99%以上の高い検知精度で、未知のマルウェアからの防御も実現。エンドポイントを最大限に保護し、調査・封じ込め・復旧といった一連の対応を行う。また、打ち合わせを通して、最適なチューニングと独自の検知ルールを設定することで、確認すべきアラートを絞り込める。クラウド型のため、自社のサーバー構築やメンテナンスが不要な点も魅力。
(出所:Cybereason MDR公式Webサイト)
同社の防御プラットフォーム「Cybereason EDR」を利用している企業向けのMDRサービス。クラウド上に置かれたAIでリアルタイムに情報を分析し、サイバー攻撃を検知する。検知した脅威は最新の知見に基づいて解析し、クライアント担当者に解決策を提⽰する。
幅広い機能を備える「Complete」と防御の支援に重点を置いた「Essentials」という目的別の2プランを用意している。「Complete」プランなら緊急性が⾼いと判断された場合に、被害拡大の抑止制御措置を実施。サイバー脅威への即時対処支援により、インシデントの初動対応をスムーズに実行できる。
(出所:ESET PROTECT MDR公式Webサイト)
EDR・XDRツールに加えて、専門性の高い監視・運用を提供するMDRサービス。クラウドベースの管理コンソール「ESET PROTECT」を利用し、侵入前対策を含めた包括的なセキュリティ体制を構築できる。
インシデント発生時には、検知のみならず、駆除やネットワーク隔離までセキュリティエンジニアが主導してサポート。また、いざというときにはセキュリティエキスパートと日本語でコミュニケーションできるので安心だ。セミマネージドタイプの「Lite」とフルマネージドタイプの「Ultimate」があり、後者は初動対応後の復旧サポートやファイル解析、ログの調査や分析(デジタルフォレンジック)にも対応。
主なMDRサービスのうち、XDRを搭載しているタイプを紹介します。
※料金はすべて要問い合わせ
(出所:Trend Service One Complete公式Webサイト)
サイバーセキュリティの専門家がクライアントのセキュリティ運用を包括的に支援するサービス。MXDRサービスとアカウントアドバイザリーサービス、インシデント対応サービス、製品保守・脅威対応優先サービスを含んでいる。平均検知時間と平均対応時間の短さが強みで、初期段階で不正活動を素早く検知して対処し、事後調査・復旧に向けて素早く支援する。
また、年間を通じて計画的にセキュリティ運用を支援するために、企業ごとにテクニカルアカウントマネージャーをアサイン。インシデント対応のワークショップの実施や定期的なミーティングなど、社内のセキュリティレベル向上につながるサポートサービスも提供する。
(出所:Sophos MDR公式Webサイト)
様々なサービスレベルやオプションに対応し、カスタマイズ性の高さに強みを持つフルマネージド型セキュリティサービス。「Sophos XDR」と併用する、セキュリティツールが単独で特定できる数よりも多くの脅威を検出。99.98%の脅威を自動的にブロックするため、アナリストは高度なトレーニングを受けた人間でなければ検出・阻止できない最も巧妙な攻撃者の追跡に専念できる。
また、脅威の根本的な原因を特定して、今後のインシデントを防止し、ビジネスリスクを低減するための提案も行う。加えて、Amazon Web Services (AWS)、Check Pointなど、ほかのサイバーセキュリティツールとの互換性があるという強みも。
(出所:Infinity MDR/MPR公式Webサイト)
防御ファーストかつ人間主導のアプローチを備えたマネージド防御&対応サービス。ネットワークやエンドポイントだけでなく、メール、クラウド、IoTデバイスといった顧客のインフラ全体を監視し、防御を行う。AIを活用したクラウド型セキュリティ運用でデータを収集し、サイバー脅威の検知やブロック、被害拡大防止処理を実行。単一のソリューションで攻撃の予防、監視、検知、調査、修復が可能となる。
また、すべてのインシデントや脅威分析、セキュリティ推奨事項をWebポータルで詳細に表示できるなど、透明性の高さも特徴だ。
主なMDRサービスのうち、様々な製品に対応するタイプを紹介します。
※料金はすべて要問い合わせ
(出所:MDRサービス公式Webサイト)
EDRサービスなどの運用をセキュリティエキスパートが代行するサービス。インシデントの監視から発生時の対応まで、ワンストップで提供する。「導入済みのEDR製品の運用負荷が高すぎる」「検知した情報に対応できる人材が自社にいない」といった課題の解決に有用だ。
対応するMDRはCylancePROTECT®︎/CylanceOPTICS®︎ 、Trend Micro Apex One™、FortiEDR、CrowdStrike、VMware Carbon Blackの5種。サービスの導入から監視、初動対応、調査、インシデント対応までをサポートし、詳細なインシデント被害調査や運用状況をレポートで報告する。
(出所:MSS for EDR公式Webサイト)
セキュリティ専門のアナリストが監視を行い、分析や対策の立案までを包括的に提供するサービス。Microsoft Defender for EndpointやCarbon Black、CrowdStrike、Cybereason EDRといった主要なEDR製品に対応しており、すでにEDRを導入済みの企業でも利用しやすい。
EDRだけでなく、MSSでセキュリティ監視しているほかのセキュリティ製品のログも横断的に収集。それらの相関分析を行うことで、早期に脅威を検知し、ビジネスへの損害を最小限に抑える。また、緊急度の高いインシデントはブロックや隔離といった一次対処・抑制を行い、被害拡大を防止する。
(出所:EDR監視サービス(MDR)公式Webサイト)
自社開発のEDR製品「KeepEye®︎」を用いたMDRサービス。マルウェア侵入の予兆を検知し、感染端末の隔離を行うといった迅速で適切な対応を提供する。「KeepEye®︎」のほかに、CrowdStrike、Microsoft Defender for Endpoint、ApexOneといった他社EDR製品による監視も可能。
情報セキュリティ事故対応の経験の豊富さが強み。アラート発生時の初動対応をはじめ、セキュリティインシデントの管理はすべてアナリストが行うため、企業の運用負担を軽減できる。アラート解析で特定された脅威に対して、同様の攻撃の再発抑止施策も実施する。また、運用監視レポートが定期送信されるため、社内報告の効率化にも役立つ。
主なMDRサービスのうち、特定の製品に対応するタイプを紹介します。
※料金はすべて要問い合わせ
(出所:CrowdStrike Falcon® x マネージドEDRサービス公式Webサイト)
EDR製品「CrowdStrike Falcon®︎」を高度に駆使することに特化した端末監視サービス。サイバー攻撃の能動的な可視化・防御やインシデント発生時の調査・対処を代行する。アラート検出時は内容を分析して、企業の対応が必要なものに絞って連絡。また、リスクに応じて遠隔での対応も行い、インシデント対応コストを大幅に削減する。
更に、EDRとほかのセキュリティデバイスのログとを統合した相互監視運用を行うと、より詳細な分析が可能に。ログ監視できる機器は400種類以上。また、オプションサービスのファスト・フォレンジック®を利用すれば、インシデントの詳細な調査結果をわかりやすい報告書にまとめてくれるので、社内外への説明・報告に活用できる。
MDRサービスは外部脅威対策製品の運用をアウトソーシングでき、企業のセキュリティ対策の強化に役立てられるサービスです。活用することで不審な挙動を検知してセキュリティインシデントを防ぐほか、万が一インシデントが発生してしまった際も迅速に分析や対応を行い、ビジネスリスクを最小限にとどめてくれます。
MDRサービスを選ぶ際は、次のタイプの中から、自社のニーズに合う合致するものを選びましょう。
選んだタイプの中から更に比較検討を進める際には、以下のポイントに着目してみてください。
MDRサービスを活用すれば、豊富な知識を持つアナリストにセキュリティの監視やインシデントへの対応を任せられるため、社内の業務負担が軽減できます。また、自社での開発や人材教育なしで、最新の攻撃対応のセキュリティ体制を維持できる点も魅力です。ぜひこの機会に導入を検討してみてください。
MDRサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
LANSCOPE サイバープロテクション CylanceMDR
エムオーテックス株式会社
世界トップレベルのセキュリティ専門家によるMDRサービス。アンチウイルスからEDR、導入支援、MDRまで対応可能。効率的な運用とセキュリティ強化を実現します。...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
