マネージド検知対応サービス(MDR)

MDR enables organizations to operationalize a turnkey Security SOC at a small percentage of the cost of building an in-house program.

MDR製品ツアー

トピック概要

MDR Gartner® Research

2023 Market Guide for Managed Detection & Response Services

レポートをダウンロード

マネージド検知対応サービス(MDR)とは

マネージド検知対応サービス(MDR)とは、お客様に代わって脅威の検知と対応を請け負うセキュリティサービスです。MDRの活用により、組織は低コストですぐに役立つセキュリティ オペレーションセンター(SOC) を運用することができるようになります。

The person in charge of procurement for a company’s security organization might start by asking the question, “What is MDR?” They already know about detection and response (D&R), sure. And because they’re asking that question, they know their organization is having trouble keeping up with D&R responsibilities. This could be due to a lack of security headcount, expertise, resources, and processes to properly stand up a D&R program. 

A capable Managed Security Services Provider (MSSP) can contract with a company to act as their SOC-as-a-Service (SOCaaS) partner, providing almost all cybersecurity services for the company. An MSSP can also quickly extend the headcount of a SOC in a specific area like D&R.

Gartnerによると、MDRプロバイダとは、テレメトリ(ログ、データ、その他のコンテキスト情報)を分析するほか、脅威ハンティングとインシデント管理を通じて、実用的な結果を提供できるものとされています。MDRの利用により、お客様はセキュリティ態勢を強化したり、ビジネス上の優先事項にリソースを集中したりすることができるようになります。

What Challenges Does MDR Address?

MDRには、アナリストの業務環境改善をはじめとする、以下のような利点があります。

  • アラート疲れを軽減 : 誤アラートが多いと、アナリストはその処理に追われ、本来対応すべきアラートに気付かなくなる可能性があります。またはチーム内の人数が少ない場合、正しくアラートを調査できなくなることもあります。MDRは、本当に対応が求められる重要性の高いアラートを調査・精選することで、チームを支援します。

  • 脅威の早期検出: SOCの負荷が大きすぎると、リアルタイムで脅威を確認したり対応できなくなる恐れがあります。MDRプロバイダは、お客様に代わって脅威の検知と対応を実施し、また精査されたアラートのみをお客様に提供することで、SOCの脅威対応時間を短縮することができます。脅威インテリジェンスと組み合わせたリアルタイム分析により、脅威を能動的に特定することもできます。
      
  • セキュリティチームを拡張 : 予算、ノウハウ、人材などの不足といった課題は、企業のセキュリティ状況に悪影響を及ぼす恐れがあります。チームは、脅威検知、アラートのトリアージ、マルウェア分析、インシデント調査、対応など、すべてを大規模に実行する必要があります。

    MDRをチームの一員として活用することにより、セキュリティチームは、限られたリソースで責任を果たすことができます。MDRプロバイダのD&Rに関する専門知識とリソースを活用することで、社内で同様の組織を構築するのと比較して少ない予算と時間で、諸問題の解決を図ることができます。
        
  • セキュリティの成熟度を加速: スタートアップ企業や過去に大きな攻撃に遭わなかった業界の企業の場合、セキュリティ的観点で未熟である場合があります。未熟なセキュリティプログラムでは、今日の多動的な攻撃環境に対応できず、最終的に悲惨な脅威に直面することになります。この問題に予算をもって対処するというのは良い考えではありますが、成功には戦略的な人員計画が必要です。

    MDRプロバイダは、セキュリティタスクを引き受けるだけでなく、セキュリティプログラムの改良や拡張についてのアドバイスもしてくれるため、社内のSOCスタッフは、セキュリティの成熟度を高めるための戦略的なプロジェクトに集中できるようになります。

How Does MDR Work?

MDRは、プロバイダのSOCチームが24x365でのセキュリティ運用を提供することで、お客様のセキュリティ能力を高めます。また、MDRは即時的なSOCの人員拡張を実現し、以下の項目の改善に繋げます:

  • 脅威の検出
  • 脅威の分析
  • 脅威の調査
  • 脅威への積極的な対応
  • 脅威以外の優先事項に注力

MDRは、お客様の環境全体を隙なくカバーすることで、悪意のあるアクティビティがいつどこで発生しているのかに関する可視性をセキュリティ担当者に提供します。こうしたMDRプロバイダは、さらに以下のようなサポートを提供することができます:

  • 標的型脅威を特定
  • 影響を受けるシステムの修復
  • 脅威の排除
  • 影響を受けるシステムを将来にわたってより適切に保護するための推奨事項を提供
  • 無害なアラートを除外し、本当に問題となる脅威だけを報告

MDRプロバイダを導入する最終的な目標は、多額の投資や負担、人材採用や育成にかかる時間やコストを軽減しつつ、即活用可能な検知対応プログラムを導入し、社内のセキュリティプログラムの質を高めることにあります。

What are the Benefits of MDR?

MDR利用の利点は様々ですが、中でも負担の少ないSOC環境を構築できる点が重要です。その他にも、適切なMDRパートナーを選択することで以下のような利点が得られます。

  • セキュリティ態勢の改善 : 専門家チームの導入で検知対応機能を拡張することで、リスクの早期発見、攻撃面の縮小などを実現するほか、デジタルフォレンジック・インシデント対応(DFIR)手法で調査を行う準備を整えることができます。

  • 投資対効果:MDRパートナーは、適切な期間(3〜5年)で有意義なROIをもたらさなければなりません。例えば、Rapid7のMDRサービスを導入したお客様は、3年間で平均約5.5倍のROIを実現しています。アラートの検知、調査、対応を効率化することで、セキュリティ組織はコスト削減を実現し、他の場所にリソースを再投資することができます。

  • 検知対応ツールへの提供 : MDRのお客様は通常、プロバイダの提供する検知対応ツールを利用することができます。また、基盤となるプラットフォームについてのトレーニングも受けられます。また、そのプラットフォームを活用した、独自のアラート調査を実行することもできます。加えて、ネットワークトラフィック分析、ユーザー行動分析(UBA)なども提供されます。
     
  • 脅威または侵害の修復の迅速化 : 信頼できるMDRパートナーなら、週に修復に費やす所要時間を時間単位から分単位に減らすなど、SOC修復能力の向上を実現できます。修復の平均時間は、MDRプロバイダがお客様の環境に合わせて特別に調整したアクション計画を作成することで大幅に短縮されます。

  • ネットワーク分析による迅速な調査 : 優れたMDRプロバイダなら、ネットワークデバイスデータを迅速に取り込んで、お客様のために役立てることができます。ネットワークデータは軽量で、検索しやすく、ネットワーク全体における攻撃者の正確な場所を迅速に特定し、侵害の範囲を特定できます。このデータを活用して、アナリストは実際のアクションを起こし、ネットワークで発生している事象を把握しつつ、そのイベントをエンドポイントに関連付けることができます。このプロセスは、脅威を早期に検出したり、調査にコンテキストを追加して攻撃者の行動をよりよく理解することに役立ちます。

MDR Use Cases

MDRはさまざまな理由で有利なソリューションとなりえますが、以下のようなケースで、特にマネージドサービスパートナーがお客様のセキュリティチームに付加価値を与えることができます。

  • 侵害の影響を受けたユーザーと水平展開を検出
  • 面倒な手動タスクを自動化し、アナリストの手間を軽減
  • ホストとエンドポイントの封じ込めを行い、マルウェアの拡散やその他の攻撃により起こりうる被害の範囲を制限
  • ユーザー行動分析、ログ分析、攻撃者行動分析から洞察を収集することで、攻撃者をより正確に検出
  • 様々なテクノロジー環境からデータを取り込むことで、可視性を高めて脅威を検証
  • 特定のセキュリティ制御を実装することで、フレームワークへの準拠を維持

MDR vs. Other Managed Security Solutions

MSSPまたはEDRとMDRの大きな違いは、SOCが獲得または強調しようとしている機能と、そうした特定のサービスに割り当てられる予算にあります。

MDRとMSSPの比較

MSSPは幅広いサービスを提供し、MDRはそのうちの1つである場合もあります。検知対応ソリューションのみが必要な場合には、SOC-as-a-Serviceソリューションを提供するMSSPのサービスは冗長である可能性もあり、その場合、MSSPとの契約は余計な支出となることも考えられます。

MDRとEDRの比較

EDRは、ネットワークとクラウドにまたがる大規模な検知対応ソリューションに組み込むべきソリューションで、通常、エンドポイントの脅威と封じ込めに特に焦点を当てたサービスです。マネージドサービスの一部としてEDRを提供するMDRパートナーを選ぶべきでしょう。

大規模なソリューションでは、脅威の検出、ハンティング、封じ込め、インシデントの検証と対応、行動分析の自動化などの機能が含まれます。そして、スタンドアロンのEDRソリューションやマネージドサービスよりも、攻撃の詳細を深く掘り下げられるべきでしょう。

How to Choose an MDR Service

Researching and subsequently engaging the services of an MDR provider is no small task – but it also doesn’t have to be a drawn-out process similar to that of standing up an in-house D&R program. Only the customer searching for an MDR solution knows the core challenges and needs of their SOC.

以下は、SOCの特定かつ固有のニーズに応じた、8つの主要な機能に対するMDRプロバイダ評価の基準です。

  1. MDRアナリストの経験値
  2. 検知対応の応用能力
  3. SOCの一員として信頼できるパートナーシップ
  4. 脅威ハンティングの提供
  5. サービスへの期待値ともたらされる成果が明確
  6. MDRの専門知識と深い造形
  7. セキュリティオーケストレーション、自動化、応答(SOAR
  8. 競争力のある価格設定

MDRの詳細は

Rapid7 MDRサービスの仕組みを学ぶ

MDRベンダーの比較

Gartner®レポート : MDRプロバイダを選択する際に問いかけるべき質問

MDR、MEDR、SOCaaS : 最適なプロバイダの見分け方

マネージド検知対応サービス(MDR): ブログからの最新ニュース

関連トピック

Security Operations Center as a Service (SOCaaS)

マネージドセキュリティ
トピックへ

マネージドセキュリティサービスプロバイダ(MSSP)

マネージドセキュリティ
トピックへ
その他のトピックを表示 その他のトピックを表示