MDRとは？SOCとの違いや機能、活用するメリットについて解説

MDR（Managed Detection and Response）とは、EDRやNDR運用などのセキュリティ業務を代行するアウトソーシングサービスのことです。MDRを活用すれば、セキュリティの脅威の検出からインシデント対応の支援までを一貫して行ってくれます。

ここでは、具体的にどのようなサービスを利用できるのかなどについて、解説します。

MDRの役割は、セキュリティの脅威の検出から対応までを一貫して行うことです。具体的には、次のような業務を行います。

・セキュリティの脅威を監視して検知を行う
・検知した脅威に対する初動対応と調査
・インシデント対応
・週次、月次運用レポートの提出

外部からの侵入など、セキュリティの脅威を監視するためには、エンドポイントの監視と脅威の検知を行うEDR（Endpoint Detection and Response）を利用します。また、ネットワークトラフィックを監視して分析する、NDR（Network Detection and Response）が使われることもあります。

しかし、これらのソリューションを活用しても、監視、分析を行うべきデータやトラフィックは膨大なため、人の手で対応することは非常に困難です。これに加えて24時間365日監視し、いつでも対応できる体制を整えることはさらに困難といえます。

そこでMDRを活用すれば、日々のEDRやNDRの運用をアウトソースし、脅威の検知から対応までを迅速にサポートしてもらえます。

▽あわせて読みたい▽
＞＞EDRとは？その必要性や機能、製品の選び方について解説しますのページへ

MDRが注目されている背景には、以下のようなことが考えられます。

・サイバー攻撃の高度化
・セキュリティ人材の不足
・企業のセキュリティ対策に対する意識の向上

年々サイバー攻撃が高度化しており、従来のセキュリティソフトなどによる対策だけではなく、エンドポイントを監視するEDRの導入などの必要性が高まっています。24時間365日監視のニーズが高まっているものの、企業内でセキュリティ人材を用意できないケースも多いです。

また、企業におけるセキュリティ対策に対する意識が高まっています。このような企業のニーズに対しては、MDRの導入が非常に効果的です。そのため、MDRが注目されはじめているといえます。

MDRとよく似た用語に、SOC（Security Operation Center）があります。

SOCとは、24時間365日体制でネットワークやエンドポイントを監視して、脅威の検知、分析を行う組織のことです。一般的には、SIEM（Security Information and Event Management）というツールを活用して、ログの収集、脅威の検知、アラート通知を行います。

このように、SOCはログ分析や脅威の検知に特化したセキュリティ対策の組織のことであり、インシデント対応までを行うMDRとは異なることがわかります。

MDRを導入すると、どのような機能を活用できるのでしょうか。ここでは、MDRで利用できる機能についてご説明します。

MDRを活用すれば、社内システムやエンドポイント、ネットワークなどを24時間365日体制で監視・運用するサービスを利用することが可能です。自社で人材を用意しなくても、セキュリティ対策を強化できるというメリットがあります。

監視する対象はさまざまで、以下のように監視対象の違いによって、サービス名称を区別する場合があります。

・MEDR（Managed Endpoint Detection and Response）
エンドポイントを対象としたMDRのこと。

・MNDR（Managed Network Detection and Response）
社内のサーバーやネットワーク機器などを含む、ネットワークを対象としたMDRのこと。

・MXDR（Managed Extended Detection and Response）
エンドポイント、ネットワークなどを含めたシステム全体を対象としたMDRのこと。

エンドポイントやネットワークなどを監視する際に、サイバー攻撃を検知した場合、管理者へ通知を行います。どこまでのレベルの脅威を通知するかを決めておけば、必要な通知を受けとることも可能です。

24時間365日体制で脅威に対応できるため、いつ起こるかわからないサイバー攻撃から、自社システムやネットワークを守れます。また、自社内で監視を行う人員を用意する必要がなく、効率よく企業の資産を外部の脅威から守れるのは、大きなメリットといえるでしょう。

社内システムや、ネットワークに対するセキュリティの脅威を検知した際に、適切な初動対応を支援してくれます。

脅威を検知した際には、脅威の発生源、侵入経路、影響度合いなどを正しく見極める必要があります。たとえば、マルウェア感染が発生した場合には、どのデバイスが発生源か、どこまで影響を受けているのかを確認し、感染したデバイスを隔離しなければなりません。

このような初動対応は、脅威を検知したらすみやかに行う必要があります。対応が遅れると、マルウェア感染がネットワークを介してほかのデバイスに広がるなど、二次被害が発生する可能性が高いためです。

MDRを導入すれば、セキュリティの専門家が初動対応を的確にすみやかに支援してくれるため、二次被害の発生を最小限に抑えられるでしょう。

初動対応が完了した後は、端末やネットワークの復旧が必要になります。たとえば、マルウェア感染した場合は、マルウェアの駆除を行い、もとの状態に戻すなどです。

発生したインシデントの内容によって、必要な対応は異なります。正しい対応を行わないと、マルウェアを完全に除去できていなかったため、再感染してしまうなどの問題が発生することもあります。

しかし、MDRを活用すれば、発生したインシデントや社内システム、ネットワークの状況にあった的確な支援を受けられるため安心です。

発生したインシデントに対して、詳細な調査内容や分析結果、問題解決の方法などについて、レポートにして報告してもらえます。

どのようなインシデントが発生したのか、詳細な調査結果と分析結果があれば、自社システムの弱点や必要な対策を検討することが可能です。発生したインシデントについて、影響の範囲や問題の解決方法、再発防止策など、顧客や取引先に報告する必要がある場合は、レポートが役立ちます。また、セキュリティインシデントへの対応に、自社のリソースをとられることがなく、業務への影響を最小限に抑えられるでしょう。

MDRを活用すれば、社内の人材不足の解消やセキュリティレベルの向上など、さまざまなメリットが得られます。ここでは、MDRを導入することでどのようなメリットが得られるかについて、具体的にご説明します。

MDRを導入することで、社内システムやエンドポイント、ネットワークなどの24時間365日体制監視サービスを受けられます。また、セキュリティインシデントが発生した際は、検知、通知、初動対応、対策実行まで、一貫したサービスを利用できます。そのため、社内でセキュリティ人材を用意しなくても、セキュリティレベルを向上させることが可能です。

自社内で、24時間365日システムの監視を行う人材を用意するのは、簡単なことではありません。もともと人材が不足している企業なら、なおさらです。まず、24時間365日体制で監視を行う人員が必要となり、セキュリティに関する知識や経験が豊富な人材でなければなりません。そのような優秀なセキュリティ人材を確保するのが、困難な企業も多いでしょう。

そこでMDRを活用すれば、セキュリティ人材を用意しなくても、セキュリティの脅威を防ぎ、セキュリティレベルを向上させることが可能です。

セキュリティ知識や経験が豊富なスタッフが、セキュリティ監視と脅威への対応を行ってくれるため、社内のセキュリティレベルの向上が見込めます。

エンドポイントやネットワークのセキュリティ監視を行う際には、膨大なログ情報などを分析して、セキュリティの脅威を検知しなければなりません。そのためには、ネットワーク上の不審な挙動やアクセスを見抜いて、脅威が発生していることを正しく検知する必要があるのです。

また、発生した脅威に対して、正しい初動対応やその後の復旧対応を行う必要もあります。とくに近年は、社内ネットワークに攻撃者が侵入した際に、攻撃を横展開するまでの時間の「ブレイクアウトタイム」が短期化しているといわれています。そのため、攻撃者がネットワーク内に侵入してから、ほかのデバイスなどに攻撃を横展開する前に、どれだけすばやく封じ込めるかが重要です。

これらの対応をすばやく的確に行うためには、高度なセキュリティ知識や豊富な経験が必要です。MDRを活用すれば、経験豊富で高度な知識をもつ専門家による対応を受けられるため、セキュリティレベルの向上が期待できます。

MDRを利用する際には、脅威を検知した際に通知を受けとるレベルや、社内システムにあった対応内容などをカスタマイズできます。どのレベルまで対応を求めるかは、企業ごとに方針が異なります。企業のニーズやセキュリティ対策の方針にあった機能をカスタマイズすることで、自社にあった対応を受けられるでしょう。

自社内で高度なセキュリティ対応ができる人材を育成したり、外部から採用したりする場合、コストと時間がかかります。かけたコストと、時間にあった人材を得られればよいですが、人材育成や採用に関しては不確定な部分が多いです。思うように人材が育たない、採用した人材が求めるレベルのスキルをもっていなかったという場合もあるでしょう。

しかし、MDRを活用すればコストはかかるものの、高度なセキュリティ知識をもつスタッフによる、期待したレベルのサービスを受けられます。自社で人材育成や新たに採用を行うよりも、MDRを活用した方がより確実にセキュリティレベルの向上につながるでしょう。

MDRには、対応範囲の違いによって、セミマネージド型MDRとフルマネージド型MDRの2種類があります。ここでは、この2つについてご説明します。

対応範囲が脅威の検知から事象の分析までで、インシデント対応までは行わないタイプです。24時間365日体制で監視を行い、脅威を検知したら内容を分析して管理者に報告します。

その後の隔離作業や復旧作業などは行わないので、委託元が対応する必要があります。自社内で対応を行いたい場合には、こちらのタイプを選択するとよいでしょう。

驚異の検知から、インシデント対応支援までフルで行うのが、フルマネージド型MDRです。24時間365日体制で監視を行い、脅威の検知、内容の分析後に初動対応、復旧対応までを支援します。

自社内でインシデント対応をするのがむずかしい場合には、フルマネージド型MDRを選ぶ必要があります。

この記事では、MDRとはどのようなものか、その機能やメリットなどについて解説しました。

MDRを導入することにより、24時間365日体制で、社内システムやエンドポイント、ネットワークなどの監視対応をしてもらえます。さらに、脅威を検知した際の分析、通知、初動対応、復旧対応まで、一貫したサービスを利用できます。

社内のセキュリティレベルを高めたいが、セキュリティ人材が不足しているなどの企業に、ピッタリのサービスといえるでしょう。

＞＞SHIFTのセキュリティソリューションのページへ
＞＞お問い合わせページへ
＞＞料金についてページへ