脅威の検知・対応を代行するサービス「MDR」とは?「SOC」との違いを紹介|セキュアエッジ株式会社~新時代のネットワーク・セキュリティソリューション~
脅威の検知・対応を代行するサービス「MDR」とは?「SOC」との違いを紹介
近年、働き方改革が進み、働き方にも様々な形態が増えてきました。特に、2020年の新型コロナウイルス感染症拡大の影響で、リモートワークを推奨する企業が増えてきました。そのため、セキュリティ対策の重要性が一層問われるようになりました。これまでのセキュリティ対策だけでは対処しきれない、最新の脅威への対策が必須になっています。そこで、ここでは今注目されつつある「MDR」について紹介いたします。
MDR(Managed Detection and Response)とは?
MDRは、Managed Detection and Responseの頭文字をとったものです。サイバー攻撃を検知をして、速攻インシデントの処置を代行してくれるアウトソーシングサービスのことを意味します。企業内のセキュリティ機器の管理、運用、インシデント発生時の対応などを、代わりに行ってくれるサービスです。検知と対処を行うだけでなく、ログ分析も行います。特に重要なアラートを検知したときには、メールや電話で通知もされます。通知の際、今後の対処法を提案するだけでなく、感染機器の隔離、詳細な調査やポリシー設定の調整、システムの復旧などを含み、幅広くサービスを実施してくれるものもあります。近年、様々な脅威が創り出され、さらに巧妙化していくサイバー攻撃に、企業は日々リスクを抱えています。それだけでなく、内部の者による不正の可能性も含めて考えると、完璧にセキュリティ対策を講じることは困難を極めます。そこで、脅威を防ぐだけではなく、侵入を許してしまった後の脅威を迅速に検知し、最小限の被害で抑えるようにいち早く対処する事が重要です。
なぜMDRが注目されているのか?
企業の情シス担当者は、社内のセキュリティについて、今まで以上に高度な専門知識や技術を求められるようになりましたが、最近の様々なサイバー攻撃にはなかなか追いついていないのが現状です。多くの企業では情シス担当者が他の業務を兼任、もしくは情シス担当者はいるけれど、実際にはシステムエンジニアやネットワークエンジニアが兼任しているだけで、情報セキュリティを担当する専任者がいない企業が多いと言われています。このように、セキュリティ人材不足は企業の課題であり、MDRのような代行サービスが注目されているのが現状です。
急速なDX化もMDR注目の背景
DXの流れによって、急速にクラウドの利用が広がってきています。この急速な変化も、MDRが注目される要因のひとつです。2020年からの新型コロナウイルスのパンデミックを受けてさらに加速しています。一方、デジタル化の進展によって、サイバー攻撃の対象となるITシステムも増加しています。日々、高度で洗練された攻撃手口が増えており、企業が被害を受けるリスクは高まっています。そのため、セキュリティ侵害を完全に防ぐことは難しいのが現状です。しかし、被害を最小限に抑えることはできるはずです。そこで、DX基盤をより堅牢にするために、MDRを利用する企業が増えています。
MDRを導入するメリット
MDRが注目されている背景でも述べたように、企業において専任でセキュリティを担当できる人材が不足しているのが現状です。そこで、専任スタッフがいなくても、サイバー攻撃に関して、自社ネットワーク内に存在する脅威の検知と除去、システムの回復、再発防止策の検討・実装などをMDRが代行してくれることで実現できるというメリットがあります。
MDRは、サイバー攻撃の侵入を防ぐというよりは、既にネットワーク内に侵入してしまった脅威を迅速に検知し、素早く対処するためのマネージドサービスです。近年のサイバー攻撃は手口が極めて巧妙化しており、完璧に侵入を防ぐのは難しいと言われています。このように、日々巧妙化、高度になっている脅威に対して、専門スキルを持った人材の少なさが企業の課題となっています。そのため、セキュリティ対策を専門家にマネージドで任せられるのがMDRの大きなメリットと言えるでしょう。
SOCとは?
SOCとは、Security Operation Centerの頭文字から取った用語で、企業や組織におけるセキュリティを担う部門・部署・チームのことを指します。24時間365日体制でネットワークやデバイスを監視して、サイバー攻撃の検出や分析、対応策のアドバイスを行う組織のことを言います。ネットワーク、デバイス、サーバなどの機器の監視と分析を行い、サイバー攻撃を検知するのが目的です。多種多様で高度なセキュリティに精通した人材を集めて、様々なサイバー攻撃を迅速に検知・対処し、被害が生じた場合には迅速に対応し、被害を最小限にとどめることが可能になります。近年、サイバー攻撃の手法がますます多様化・高度化しているため、従来のセキュリティ体制や、セキュリティ基盤だけでは対応しきれずに被害を受けるリスクが高まっています。そこで、サイバー攻撃を防御する側として、セキュリティの専門家がセキュリティに専任して従事できる体制、基盤を持つSOCを構築して、運用をしていくことで各種サイバー攻撃による被害を回避する必要があります。
なお、セキュリティ関連の組織としては他にもCSIRT(Computer Security Incident Response Team)もありますが、CSIRTは、インシデントが発生した時の対応に重点が置かれているのに対して、SOCはインシデントの検知に重点が置かれているのが特徴的です。
MDRとSOCとの違い
SOCは企業や組織内に設置されたセキュリティを担う部門・部署・チームですが、一方でMDRはマネージドサービスとして利用することもできます。セキュリティ機器などを導入し、セキュリティインシデントから企業を守るために、その運用体制がとても大切です。企業にSOCの設置をすることが効果的ですが、24時間365日体制で運用するためには高度なスキルを持った人材が必要です。しかし、なかなかセキュリティ人材を確保するのは難しいと言えます。
この点、企業内のセキュリティ機器の管理や運用、インシデントが発生した際の一次対応や二次対応を企業に代わって実施するMDRが有効です。ただし、MDRでは、監視対象となるセキュリティ機器が限定される場合がありますので注意が必要です。この場合、複数の機器で相関分析を行うことでしか検知できないサイバー攻撃を見逃してしまう可能性があります。しかし、エンドポイントのみ、もしくはネットワークの通信のみのログを監視したい場合には、対象機器が限定されたMDRを利用することも有効なので、企業の監視対象にすべきポイントを検討することが大切です。
MDRに期待できるポイント
企業や組織を標的とした脅威を適切に検出して対処するためには、高度なレベルのセキュリティ専門家、テクノロジー、プロセスを組み合わせることが重要です。MDRに対して企業として何が期待できるのかここで紹介したいと思います。
迅速なレスポンス
MDRでは、エンドポイントセキュリティが発したアラートの優先度を判断して、深刻度の高いものに対する調査を行います。そして、影響範囲を特定して、侵害を受けた端末の隔離などの対応を行います。この対応をいち早く行い、適宜ユーザへ状況報告ができるかどうかが非常に重要です。MDRで検出する脅威は過去のパターンなどで見つけられるものではなく、MDRにおけるアナリストの多くの調査経験によって見つけられるものです。この能力に乏しいMDRベンダーだと、攻撃の特定までに時間を要し、結果、早期対応のタイミングを逃すことになってしまいます。脅威の侵入が発生した際に、ユーザ(企業側)は混乱した状況にあるからこそ、迅速に状況判断を行うことが求められます。
ランサムウェアなど最新の脅威に関する調査
優れた研究部門を持つMDRでは、他のサイバー脅威インテリジェンスを組み込むだけでなく、世界中の新たな脅威に関する最新情報を持っており、効果的に活用することができます。そのため、こういったMDRがどのように調査を実施し、脅威インテリジェンスを収集しているのかも重要なポイントになります。また、強力な調査チームは、攻撃者や攻撃手法の調査、侵害調査の実施などを行っており、組織が脅威の一歩先を行くような調査をしています。
インシデント対応の自動化
MDRによっては、理解しにくいレポートが出力されるものの、その対応はほとんど手作業になっているものも多いです。そのため、可能な限り自動化されているものを選択することがより効率的であり、迅速な対処が可能になります。また、インシデント対応の自動化を設定できるものをおすすめします。
まとめ
サイバー攻撃は、時代の流れと共に金銭を要求するものなど悪質なものへと目的が変遷しています。金銭目的のサイバー攻撃集団もいます。ウイルスを作る担当、集金代行、マネーロンダリング担当と分業化されて、組織化してきているのです。サイバー犯罪者としてのスキルがなくとも攻撃を仕掛ける事が可能になった昨今、自社の環境を見直すことがより重要です。働き方改革、リモートワークや柔軟な働き方が求められる反面、ネットワークの安全性を保つことは難しくなってきています。そのため、より一層、多種多様な脅威に対して、アンテナを張り巡らす必要があります。社内においてセキュリティ専任の人材がいない場合でも、MDRを導入することで高度なセキュリティ対策が実現可能です。もちろん、MDRだけでなく複数のセキュリティ製品を組み合わせることにより、あらゆる脅威に対抗することが可能となります。その組み合わせも目的に応じて、また自社の環境に最適なものを選定する必要があります。導入をお考えの際にはぜひ一度専門家に相談いただき、最適なMDRサービスや製品について検討していただくことをおすすめします。