マクニカ
XDR 2023.05.02

MDRとは?基礎知識や導入メリット、選定ポイントを解説します

目次

  1. MDRとは?
  2. MDR導入のメリット
  3. MDRを導入する上でのポイント
  4. まとめ

1. MDRとは?

MDR とは「Managed Detection and Response」の略であり、EDRNGAVNDRなどの外部脅威に対する製品のマネージドサービスのことを指します。例えば、EDR において必要となる一連の運用プロセス(検知~調査~封じ込め)を外部ベンダーが持つセキュリティの専門チームに任せることができるアウトソーシングサービスです。

※EDRについての詳細はこちらの記事をチェック ⇒ EDRとは?

MDRが注目されるようになった背景

MDRが近年注目されるようになった背景としては、主に以下2点が挙げられます。

①攻撃者による攻撃展開の迅速化
②セキュリティ人材の不足

①攻撃者による攻撃展開の迅速化

攻撃者が攻撃対象の環境に侵入してから横展開を起こすまでの時間をブレイクアウトタイムといい、セキュリティ対策にあたってはこのブレイクアウトするまでに攻撃を封じ込められるかが重要となります。しかし、攻撃者による攻撃は加速的に迅速化しており、現在では初期侵入から平均2~4時間※で横展開に至っています。攻撃を受けた被害者は、攻撃を検知してからトリアージを行い、早急に対応が必要なものをピックアップ、調査して影響範囲を特定、端末隔離や脅威除去といった封じ込めまでの対応が時間内に求められます。
セキュリティ対策はまさに時間との戦いとなってきており、24時間365日の監視・対応が求められています。

※クラウドストライク社グローバル脅威レポートより
https://www.crowdstrike.com/global-threat-report/

MDRとは?1.png

②セキュリティ人材の不足

EDRの運用にはセキュリティに関する専門的な知識・スキルをもった人材が必要不可欠です。24時間365日の運用体制をとるのに必要な人数は最低4.5人※と言われています。一方で、グローバルにおけるサイバーセキュリティに関わる人材は圧倒的に不足しています。日本国内だけでも約5万6千人のセキュリティ人材が不足している※との調査結果が出ており、人材不足が深刻化している中で企業が自社運用に必要な人材を確保することは困難と言えます。

※SANS 情報セキュリティ ホワイトペーパーより
https://www.sans.org/media/analyst-program/common-practices-security-operations-centers-results-2019-soc-survey-39060.pdf
※(ISC)² Cybersecurity Workforce Studyより
https://www.isc2.org/Research/Workforce-Study

MDRとは?2.pngこのようにEDRは導入して終わりの製品ではなく、運用における24時間365日体制の整備や専門人材の確保などが必要で、各社の課題となっています。これらの課題を解決できるのがMDRなのです。

2. MDR導入のメリット

ここまで説明した通り、EDRの運用を自社リソースで担う場合、多大な負担となることが予想できると思います。そこでMDRを導入することでどのようなメリットがあるのかを具体的に紹介します。
MDR導入の最大のメリットは、自社でセキュリティ人材を確保する必要がなくEDRの運用をアウトソース出来る点が挙げられます。アウトソース先のベンダーには、高度なセキュリティ知見を持ち、インシデント対応の経験も豊富な人材が揃っているので、運用を安心して任せることが出来ます。また、セキュリティ人材は一般的に人件費が高額になるケースが多く、人材確保・運用まで含めたトータルコストの観点からメリットとなる可能性もあります。さらに、ベンダーによっては複数拠点の運用に対応していることもあり、セキュリティホールになりがちな地方や海外拠点の対策もカバーすることで、会社全体でのセキュリティレベルの向上及び標準化も実現することができます。

MDRとXDRの違い

MDRと似たようなキーワードとしてXDRがあります。どちらもEDRに関連したワードですが、MDRは冒頭ご紹介した通りEDR運用をアウトソーシングするマネージドサービスのことを指します。対してXDRは「eXtended Detection and Response」の略であり、独立して運用している各ドメインのセキュリティソリューションを統合し、EDRの機能を拡張させた概念です。エンドポイント以外の複数ドメインのソリューションから取得される検知・ログデータを相関分析することで、EDR単体で運用するよりも高い検知能力、検知精度を実現します。

MDRは2種類に分けられる

MDRと一口に言っても様々なベンダーが似たようなサービスを提供しています。これらのサービスを厳密に分類することは難しいですが、そのカバー範囲の違いから大きく2種類のタイプに分けることが出来ます。

①フルマネージド型
②セミマネージド型

MDRとは?3.png

①フルマネージド型

フルマネージド型は皆さんが想像するようなインシデント対応の一連のプロセスを網羅して担ってくれるサービス形態です。委託先のベンダーは、24時間365日による監視はもちろん、検知~トリアージ~調査~対処といった脅威の封じ込めに関する対応を一気通貫で実施します。これによりユーザーは社内外関係先や経営層への報告、詳細調査や復旧といった注力すべき業務に集中することが出来ます。

②セミマネージド型

対してセミマネージド型はフルマネージド型で提供されるサービスの一部のみを担うサービス形態です。サービスのカバー範囲はベンダーごとに様々ですが、検知から一次対処までは請け負うものの、その後の調査・対処はユーザー側に委ねられるケースが多くあります。ユーザーからの問い合わせも内容によって制限されるケースもあるので、運用を外出ししたつもりが結局自社で対応しなければならないということになりかねません。

このようにフルマネージド型とセミマネージド型でサービスのカバー範囲に大きな違いがあり、MDR選定の際には、どこまで対応してくれるのかをしっかり把握して検討することが大切です。

3. MDRを導入する上でのポイント

本章ではMDRを選定するにあたり重視するべきポイントを3つご紹介します。

①インシデント対応のカバー範囲
②EPP・EDR製品自体の品質
③複数拠点への対応

①インシデント対応のカバー範囲

前述した通り、MDRベンダーによりサービスのカバー範囲は大きく異なります。
特に対処のフェーズにおいてその差が顕著に表れます。一時的な端末隔離や脅威除去に留まらず、脅威が除去された後の隔離解除や恒久的な対策をとるためのレポートなどアフターサービスまで対応しているベンダーを選定することが重要です。

②EPP・EDR製品自体の品質

サービスのカバー範囲が広くてもEPP(AV)・EDR製品の品質が十分でないとインシデントを防ぐことが出来ません。EPPの品質が高くない場合、見逃してしまう攻撃が多くEDRで発報されるアラートの数が膨大となります。結果、対応に多くの工数を割くことになります。そのため、既知・未知のマルウェアや振る舞いベースの攻撃など多様な攻撃パターンに対して検知・ブロック出来ることが重要です。またEDRの機械的な検知だけでなく、人の目を使ったプロアクティブな「脅威ハンティング」サービスを備えていると高度な攻撃まで検知してくれるので安心です。
※アンチウイルス/NGAVについての詳細はこちらの記事をチェック ⇒ 「EDR」とは? EDRの基本や導入メリット、選定ポイントをご紹介

 MDRとは?4.png③複数拠点への対応

昨今の攻撃は、脆弱性の高い地方や海外の拠点を狙ってくるケースが増えています。また検知後の恒久的な対策として、全ての拠点における攻撃の痕跡やエンドポイントの管理状況を把握することが望ましいです。本社だけでなく他拠点も同一のセキュリティ品質を担保し、かつ運用管理まで標準化できることが重要になります。

MDRとは?5.png

クラウドストライクの特徴

ここまでMDRの必要性から選定におけるポイントについてご紹介しましたが、ここで弊社の取り扱い製品であるクラウドストライク社のMDRサービス「Falcon Complete」について、簡単にご紹介します。

①導入から修復後のレポートまで幅広く対応

Falcon Completeは検知~トリアージ~調査~対処といった脅威の封じ込めに関する対応を一気通貫で提供するフルマネージド型のサービスです。検知後の迅速な端末隔離/脅威除去だけでなく調査・対策後の隔離解除といった業務復旧まで、クラウドストライク社が実施します。インシデントの根本原因及び原因に対する対策示唆により、ユーザーが恒久対策をするための情報もレポーティングされます。さらに導入時に必要なセンサーのチューニングやその後の定期的な設定管理についてもクラウドストライク社が主体的に実施するので、ユーザーの管理工数を局限することが可能です。
  
②第三者評価に裏付けされた確かな製品品質

Falcon CompleteにはEPP/EDR/脅威ハンティングがパッケージに含まれています。第三者評価に裏付けされた製品品質により、脅威の予兆を高精度で検知・ブロックするほか、検知後のインシデント対処についても専任のエキスパートチームにて迅速に対処を実施するため、攻撃者の目的達成速度を凌駕し脅威を根絶します。

③複数拠点の監視と柔軟なグルーピングが可能

Falcon Completeなら国内外問わず全拠点の統合監視を実現出来ます。親テナントの管理者は全拠点を横断して管理できるとともに、子テナントの管理者は自拠点のみ管理することが可能です。またテナントの中でもグルーピングが可能なため、検知・ブロックポリシーや通知先を柔軟に設定・管理することが可能です。

4.まとめ

  • MDRとは「Managed Detection and Response」の略であり、EDRのマネージドサービスである
  • EDRの自社運用は継続監視や専門人材の確保が必要で各社の課題となっている
  • MDRを導入することで、検知~トリアージ~調査~対処といった一連の対応をアウトソース可能
  • MDRサービスの選定には、以下3点を重視した検討が必要

①インシデント対応のカバー範囲
②EPP・EDR製品自体の品質
③複数拠点への対応

  • クラウドストライク社が提供する「Falcon Complete」はフルマネージド型のMDRサービスである

ポイント
①導入から修復後のレポートまで幅広く対応
②第三者評価に裏付けされた確かな製品品質
③複数拠点の監視と柔軟なグルーピングが可能

▼Falcon Completeの詳細はこちら
詳細はこちら.png

関連資料
▼【ホワイトペーパー】統合SOCがもたらすメリットとは
1.png

資料請求はこちら.png

▼【動画】日本のグローバル企業が目指すべき強固なインシデント対策とは!?
2.png

動画視聴申し込みはこちら.png

▼【ユーザー事例】 BASE株式会社様
3.png

ユーザ事例はこちら.png


▼お問い合わせ
クラウドストライク製品担当
フォーム:https://go.macnica.co.jp/CS-Inquiry-Form.html
メール :crowdstrike_info@macnica.co.jp
製品HP:https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ