CONTACT

2024/02/16セキュリティソリューション

セキュリティのトレンドをモノにしよう! ~今日から使えるセキュリティ運用の知識三部作②「MDR」~

  1. トップ
  2. インサイト
  3. セキュリティのトレンドをモノにしよう! ~今日から使えるセキュリティ運用の知識三部作②「MDR」~

twitter

Linkedin

セキュリティのトレンドをモノにしよう!
~今日から使えるセキュリティ運用の知識三部作②「MDR」~

CISO事業部 長浜 弘和

はじめに

皆さんこんにちは!CISO事業部の長浜です。

日増しに寒くなってまいりましたがいかがお過ごしでしょうか?私はなんとか机に向かってテレワークしています。
今日から使えるセキュリティ運用の知識三部作、前回の『マネージドSIEMサービス』についてはもう読んで頂きましたでしょうか?
『マネージドSIEMサービス』を一言で言うと、「ユーザー組織が所有するSIEMをリモート管理及び監視するサービス」の事でした。
今回の『MDR』は前回の話に通ずる所があるので、まだ読んでないという方はそちらから読んで頂けると幸いです!

インサイト記事「①「マネージドSIEMサービス」

MDRとは?

それでは第2部、『MDR』についてご紹介したいと思います。

MDRとはManaged Detection and Responseの略で、直訳すると「検知と対応のマネージドサービス」という意味です。
ユーザー組織内のエンドポイント(サーバーやPCなど、ネットワークに接続されている端末機器の事)やネットワークに潜む脅威(不正侵入や不正通信など)を監視し、検知したインシデントへの素早い対処と影響の低減を実現する一連のアウトソーシングサービスと定義されています。

前回はサービスの対象がSIEMのみという限定的なものでしたが、今回はその対象が少し広くなっています。
ここで注意して頂きたいのは、MDRとはエンドポイントを監視して不審検知を行うソリューションであるEDREndpoint Detection and Response)のマネージドサービスであると思われがちですが、一概にそうであるとは言えません。
実は監視対象によってMDR3つのタイプに分類する事が出来ます。

1つ目にMEDRManaged Endpoint Detection and Response)です。
前述したEDRあるいはエンドポイントのマルウェア感染を防止するソリューションであるEPPEndpoint Protection Platform)のマネージドサービスを指します。

2つ目にMNDRManaged Network Detection and Response)です。
ネットワークトラフィックを監視して不審検知を行うソリューションであるNDRNetwork Detection and Response)のマネージドサービスを指します。

3つ目にMXDRManaged Extended Detection and Response)です。
EDRとNDRを統合したソリューションであるXDRExtended Detection and Response)のマネージドサービスを指します。

MDR=MEDRと捉えられる事が多く、実際そうであるパターンが多いのですが、厳密にはベンダーによって定義が異なる場合があることを注意しましょう!

ただ何が監視対象であろうと、MDRとは「ユーザー組織内のエンドポイントやネットワークに潜む脅威を監視し、検知したインシデントへの素早い対処と影響の低減を実現する一連のアウトソーシングサービス」である事に変わりありません。

どのようなユーザー組織にMDR導入が向いているかは、基本的にマネージドSIEMサービスの時と同様です。

  1. 事前に充分な議論や検討を出来ないままソリューションを導入している場合
  2. 知見やスキルを持っている人材が不足している場合
  3. 大量のアラートに迅速に対応する人材が不足している場合

上記に心当たりがある場合、一度MDRの導入を検討してみてはいかがでしょうか?

MDR導入に際して考慮すべきこと

こちらもマネージドSIEMサービスの時と同様に、単にMDRを導入すれば万事OKというわけではありません。

例えば以下の事を考慮しましょう。

  1. どのソリューションを監視対象としているMDRなのか
  2. インシデント検知時の対応内容や通知方法
  3. MDRを利用する事によるコストへの影響
  4. サービス提供者と自組織間での明確な要件の擦り合わせ
  5. 社内のセキュリティ人材は依然として必要不可欠
  6. サービス提供者との運用責任分担

上記にも書いてある通りMDRの定義はベンダーによって異なります。

どのタイプのMDRであっても運用にあたっては専門性の高いスキルや知識が求められるため、監視対象の範囲やインシデント検知時の対応内容などがどのレベルで提供されるのかをしっかり把握しておきましょう。

その上でどこまでが自組織にとって必要なのかを考えてみると、全て至れり尽くせりなベンダーが最適だとは言えなかったりするのです。

おわりに

以上がMDRについてのご紹介でした。

次回の記事はいよいよ最終章!私がメインで担当しているソリューション、「SOAR」についてご紹介したいと思います!

【プロフィール】

執筆者:長浜 弘和(ながはま ひろかず)

2020年にアイディルートコンサルティング株式会社(IDR)の前身であるデジタルアーツコンサルティング株式会社に中途入社。国内有数のSOARエンジニアとしてSOAR導入/運用支援プロジェクトに多数従事し、様々なセキュリティソリューションと連携したPlayBookを作成。また、SOARソリューションの有識者としてセキュリティセミナーにも登壇。

監修:吉田 卓史(よしだ たくし)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

twitter

Linkedin

関連コラム

コラム一覧に戻る