( 1 ) MDRとは?
MDR(エムディーアール)とは「Managed Detection and
Response」の略で、ネットワーク内に侵入してしまった脅威を速やかに検出し、素早い対応をアウトソーシングで可能にするマネージドサービスです。同じ事後対策として注目されているソリューションに、EDR(イーディーアール)があります。これは「Endpoint
Detection and
Response」の略で、エンドポイント(※1)において常に監視を行い、すでに侵入している脅威を検知し、不審な動きをしていれば自社の管理者に知らせるというものです。
そのためEDRを運用するには、社内にも高度なセキュリティ知識を持つ担当者などが求められる場合があります。一方、MDRは専門知識を有する外部の専門家に、すべてを任せるアウトソーシングサービスであることが両者の大きな違いです。
( 2 ) MDRのメリット
アウトソーシングをせず、自社内にサイバー攻撃の検知・分析を行うSOC(エスオーシー)と呼ばれる専門部署を立ち上げている企業もあります。これは「Security
Operation Center」の略で、24時間365日の監視体制を整えています。
しかし多くの企業にとって、こうした専門部署の設置は容易ではないため、SOCの構築とEDRの運用を外部に委ねるサービスとしてMDRが登場しました。専門的なスキルを持ったプロ集団の力を借りることで、最先端のセキュリティ対策を構築できるのがMDRの大きなメリットです。
一般的なサービス提供の流れ
①24時間365日監視
脅威を常に監視し、検出すればアラートや警告を出します。
②初動対応の実施
検出後、ネットワークの遮断やデバイスの隔離などを行います。
③調査・レポート
侵入経路や被害状況などを調査し、レポートにまとめます。
④セキュリティ対策支援
企業のインシデント(※2)対応方針の策定などをサポートします。
※2 インシデント:「出来事」、「事件」の意。IT分野ではコンピュータやネットワークのセキュリティを脅かす事象を指す。( 3 ) MDR導入時の留意点
MDRはあくまで事後対策としての仕組みです。MDRの導入後も従来の「侵入を未然に防ぐ」対策は継続して行う必要があります。そのうえで防ぎきれなかった脅威をMDRで即座に検出し、対処するのが「正しいセキュリティ対策」のあり方と言えます。MDR導入だけで安心せず、バランスのとれたセキュリティ対策を講じることが重要です。
アウトソーシング先の選定ポイント
ベンダーによってMDRのサービス内容は異なります。例えば監視対象が「ネットワークのみ」や「デバイスのみ」のように、限定されることもあるため注意が必要です。自社の環境を総合的に監視したいという要望を満たすには、どのようなサービスが提供されるのかを確認したうえで導入を検討します。自社に適したアウトソーシング先を選ぶことで、安全なセキュリティ対策が構築できます。