MDRとは 1

近年、標的型攻撃やランサムウェアなど、多様なサイバー攻撃が多くの企業を悩ませています。それらは増加の一途を辿り、日々巧妙化する悪質なものになっています。企業側もいつ攻撃されるかわからないという不安感があり、不特定多数の攻撃者が圧倒的な優位を見せています。

これまでのセキュリティ対策では、攻撃の侵入を防止することにフォーカスが置かれてきました。侵入を防ぐために何重にもセキュリティを重ね、実際に攻撃のダメージが大きい終盤のフェーズにはあまりコストがかけられてきませんでした。しかし、日進月歩するインターネットの世界では、やがてそのセキュリティをすり抜けるサイバー攻撃が生まれてしまいます。そこで、限られた人員とコスト、時間を使い、どのようにサイバー攻撃に対応するかが考えられるようになりました。これを経て、侵入を防ぐことではなく、侵入されてからの局面に焦点がシフトされてきました。エンドポイントセキュリティという概念の誕生です。

そして、こうしたエンドポイントセキュリティを提供するサービスが誕生しました。「MDR(Managed Detection and Response)」と呼ばれるものです。今回はその「MDR」いついて、具体的に解説していきます。

MDRとは

MDRは、発生するセキュリティインシデントに対し、検知するだけでなく、対応・回復までをサービスの範囲内としています。米Gatnerは、企業や組織がサイバーセキュリティの防御能力の向上に繋がることが期待されるという11種類の技術を紹介しており、その一つにMDRも挙げられています。巧妙化する攻撃者に対抗するために必要なものとして、次のように解説しています。「Managed Detection and Response(MDR)は、驚異の検出やインシデント対応、継続的な監視機能を高めたくとも自前で実施するノウハウや資源がない企業に対してプロバイダーがサービスを提供すること。脅威対応能力への投資が不足している大企業や中堅・中小企業からの需要が高まっている」。

参考資料:サイバー防御力を高めるセキュリティテクノロジ11選

MDRはなぜ多くの企業に必要とされているのでしょうか。それには、日々進化するサイバー攻撃への対応が多くの企業にとって困難になってきているという事情があります。

サイバー攻撃が高度化・複雑化するにつれて、防衛や防御の対策によってセキュリティインシデントを未然に防ぐことだけに、コストや時間を割くことは、現実的な手段とは言えなくなりつつあります。例えばウイルスやマルウェアにおいては、新種や亜種といった新たな脅威によるゼロデイ攻撃は、既存の対策で対応することが困難です。

このような現状における企業のサイバーセキュリティでは、未知の脅威に対する被害が発生した場合に、その拡大防止、正常な状態への復旧、再発の防止等のインシデントレスポンスの能力が不可欠ですが、これらにはセキュリティに関する高度な知見やノウハウが不可欠であり、企業内部だけで対応することは、大きな負担になります。

参考資料:マネージド・ディテクション・アンド・レスポンス(MDR)はなぜ必要か?

また、MDRと似たサービスに、MSS(Managed Security Service)というものがあります。MSSはセキュリティアプライアンスや、セキュリティソフトウェア、セキュリティサービスなどをマネージドサービスとして管理運用するサービスです。対象のセキュリティ製品を基準とし、主に検知や防御といったセキュリティ製品の持つ機能をベースとしたサービスになっています。それに対し、MDRはインシデントレスポンスをサービスとして提供しています。管理対象の製品がどのような製品であるか、という点も重要ですが、インシデントレスポンス支援では高度な専門家による管理が軸となります。製品でサポートされない内部に潜む脅威の早期発見や被害の拡大防止等に対し、支援を行います。

参考資料: マネージド・セキュリティサービス(MSS)とマネージド・ディテクション・アンド・レスポンス(MDR)の違いは?

2017年12月より、ネットワンシステムズがMDRサービスを開始し、注目を集めました。マルウェアに感染した端末を検知・特定・隔離するサービスと情報漏洩を防止するためのアクセス制御を行うサービスで構成されるという、エンドポイントである端末にまで踏み込んだサービスとして各メディアで取り上げられました。次回はこのネットワンが提供するMDRについて解説し、エンドポイントセキュリティについてより詳しく書いていきます。