MDR の定義
マネージド検出と応答 (MDR) とは、高度な検出と迅速なインシデント応答を使用して、サイバー脅威から組織を先回りして保護するサイバーセキュリティサービスです。MDR サービスは、サイバー脅威の追求、監視、対応を行うためのテクノロジと人智の結集です。
今日のサイバー脅威の状況は進化を続けており、組織はますます巧妙さを増すサイバー攻撃から自分自身を守ることがこれまで以上に重要になっています。ランサムウェアから巧妙になりすましたフィッシング詐欺まで、サイバー犯罪者はますます巧妙さを増しています。しかし、業界を問わず組織が人材不足に直面する中、多くの IT 部門では、適切なスキルを持つ従業員をセキュリティ チームに適材適所で配置し続けることに苦慮しています。
このような環境の中で、時間のかかる作業を代行し、 社内の既存のセキュリティ チームを補強してくれる、信頼できるマネージド検出と応答 (MDR) パートナーを求める組織は増加し続けています。組織が MDR セキュリティ プロバイダと連携することで、IT 担当の従業員を追加で雇用することなく、セキュリティ オペレーション センター (SOC) にフルタイムでアクセスできるようになります。MDR は、ビジネス、従業員、およびデータの安全性を保持するだけでなく、ブランドの評判を維持し、顧客の信頼を高めることにも役立ちます。
MDR のしくみ
マネージド検出と応答は、最先端のテクノロジと人間の専門知識を組み合わせ、お客様の組織に対するサイバー脅威をリアルタイムかつ 24 時間体制で監視、検出、対応します。
MDR のサービスはプロバイダーによって異なりますが、一般的には次のようなものがあります。
- 24 時間体制でのサイバー脅威の監視と対応
- 人間のエキスパートによるサイバー攻撃の追求
- サイバー攻撃の拡大を防ぐ封じ込め
- サイバー脅威を排除するインシデント応答
- サイバー攻撃再発防止のための根本原因分析
- 週次および月次で配信されるサイバーセキュリティ レポート
- 定期的なセキュリティ正常性チェック
脅威検出と応答 (TDR) は、サイバー脅威を特定して阻止するために使用されるツール) とは異なり、MDR はこれらのサイバーセキュリティ ツールとそこで提供されるデータを管理する人間主導のサービスです。
5 段階の先回り型保護
マネージド検出と応答のプロセスには、一般的に次の 5 段階で構成されます。
手順 1:優先度付け
セキュリティ チームが毎日受け取る無数のサイバーセキュリティ アラートの選別は非常に時間のかかる作業です。そのため、多くの MDR パートナーは、優先度付けの管理というサービスを提供しています。自動化と人間による分析の組み合わせにより、MDR は組織の膨大な量のアラートを選別し、擬陽性と重要なサイバー脅威を分別します。その後、セキュリティ チームに高品質のアラート ストリームを提示します。
手順 2:追求
MDR は、24 時間体制で先回り型の包括的なサイバー脅威追跡機能を提供します。サイバー脅威インテリジェンス プラットフォームは、潜在的なリスクに関する重要なデータを収集し、この情報をアナリストに伝達します。このような人間のエキスパートは、自動化された技術的ソリューションでは見逃されがちな、巧妙なサイバー脅威を特定し対応するための幅広いスキルと知識を持っています。
手順 3:調査
また、MDR のアナリストはサイバー脅威を調査し、サイバー脅威の範囲と重要性を明確に理解できるようにします。発生したサイバー攻撃の種類、発生した時期、影響を受けたユーザー、サイバー攻撃の重大度など、詳細な情報が提供されます。この貴重な情報をもとに、効果的な対応を立案し、次の手順を特定します。
手順 4:修復
修復は、サイバー攻撃の拡大を防ぐためのプロセスです。これには、マルウェアの削除、影響を受けたネットワークやシステムの隔離、侵入者の分離、レジストリのクリーニング、マルウェアの永続メカニズムの排除などがあります。効果的な修復により、ネットワークをサイバー攻撃前の状態に確実に戻します。
手順 5:阻止
サイバー攻撃を阻止し、ネットワークを以前の状態に戻した後、アナリストが根本原因分析を行います。これにより、サイバー攻撃者を完全に根絶し、今後同じ種類のサイバー脅威の発生を防止できます。
MDR の利点
-
24 時間体制の対応
MDR プロバイダーは、継続的なサイバーセキュリティの監視と保護を提供します。これにより、昼夜を問わず、組織に対するサイバー脅威を迅速に検出し、阻止できます。
-
リスクの低減
サイバー攻撃が増加の一途をたどる中、組織とデータの保護は不可欠です。MDR は、潜在的に有害なサイバー脅威を先回り型で追求し、検出して対応し、重大なデータ侵害のリスクを低減します。
-
コスト効率の高いサイバーセキュリティ
MDR は、セキュリティ チームのフルタイム従業員を追加で雇用することなく、サイバー脅威から組織を保護するコスト効率の高い方法です。これらのサービスは、コストのかかるデータ侵害を回避するのにも役立ちます。
-
コンプライアンスの向上
多くの MDR ソリューションは、業界固有の要件を満たすように設計されており、MDR セキュリティ エキスパートは、多くの場合、規制コンプライアンスを専門としています。MDR プロバイダーは、コンプライアンス レポートの効率化に役立つ貴重な分析情報を提供できます。
-
IT 負担の軽減
サイバー脅威の検出と応答は、時間がかかり、予測不可能で、緊急性の高い作業です。これらの作業を MDR プロバイダーに委託することで、IT スタッフはより戦略的でやりがいのある長期的なプロジェクトに集中できます。
-
セキュリティ エキスパートの強化
MDR プロバイダーと連携することで、セキュリティ オペレーション センター (SOC) チームの人員を増やすことなく、高度なスキルを持つサイバーセキュリティ アナリストに迅速にアクセスできます。MDR アナリストは、大量かつ広範なサイバー脅威を扱うため、他では見つけることが難しいレベルの専門知識を提供できます。
MDR のユース ケース
-
マルウェア
従来のウイルス対策システムはシグネチャ検出に依存しており、マルウェアのバリエーションごとにフィンガープリントが作成されます。ただしマルウェアの作成者は、これらの保護を回避するために独自のバリエーションを作成することによって適応しています。この問題に対処するため、MDR プロバイダーは、組織の内部システムにおけるマルウェア感染を先回りして検出し、軽減することができます。
-
フィッシング
多くの組織がインテリジェントなフィッシング防止ソリューションを導入していますが、従業員がフィッシング メールを受信し、応答してしまうリスクはまだ残っています。MDR サービスは、より複雑な中間者 (AiTM) フィッシングやビジネス メール詐欺 (BEC) サイバー攻撃の検出にも一定の役割を果たします。先回り型のサイバー脅威の追求により、MDR サービスは、潜在的なフィッシングや AiTM サイバー攻撃を初期段階で発見し、その全容を分析し、疑わしいアクティビティや異常なアクティビティを継続的に監視できます。
-
規制コンプライアンス
今日の組織は、特にデータ保護に関して、複雑な規制環境に直面しています。MDR パートナーと連携することで、サイバーセキュリティとコンプライアンスの両方の専門家にアクセスできます。企業の機密データを狙うサイバー攻撃者を特定する専門的な検出機能を使用することで、セキュリティ態勢と規制コンプライアンスを向上させることができます。
-
クラウドのサイバー脅威
今日のほとんどの組織は、大きなビジネス メリットをもたらすクラウド コンピューティングを何らかの形で導入しています。ただし、オンプレミスからクラウド環境への移行は、複雑な独自のセキュリティ上の課題をもたらします。MDR プロバイダーは、オンプレミスの侵害に起因するクラウド アクティビティを関連付け、クラウド データの流出やクラウド アプリケーションの侵害を検出するのに役立ちます。
-
横移動のサイバー攻撃
サイバー攻撃者は、いったんユーザー環境に侵入すると、システムやアカウントを通じてデータへのアクセスを試み、さらに被害を拡大させようとします。MDR プロバイダーは、特権エスカレーション、リモート アクセス ツールのインストール試行、アクセス制御の変更を検出することで、このような横方向の動きを特定するのに役立ちます。
-
ネットワークのサイバー攻撃
MDR プロバイダーは、ネットワーク境界でのサイバーセキュリティ保護を利用して、こうした攻撃の多くを検出し、ブロックすることができます。ただし、巧妙なサイバー攻撃者は、これらの保護を回避したり、克服したりする方法を見つけ出すことがよくあります。MDR 専門家は、これらの高度なサイバー脅威に対処するための専門的な戦術を把握しています。
MDR との比較XDR、MXDR、EDR、MSSP、SIEM
MDR は、多くのサイバーセキュリティ サービスの 1 つです。一般的なテクノロジ プラットフォームである多くのサイバーセキュリティ ツールとは異なり、MDR はテクノロジと人間の専門知識を組み合わせたマネージド サービスです。
MDR と他の一般的なサイバー脅威対策ツールの違いを次に示します。
MDR との比較XDR
拡張検出と応答 (XDR) は SaaS (サービスとしてのソフトウェア) ツールであり、セキュリティの製品とデータをひとつにまとめるシンプルなソリューションです。XDR は、複雑なセキュリティ課題につながる可能性のあるマルチクラウド環境やハイブリッド環境を持つ組織に対して、より効率的なサイバーセキュリティ ソリューションを提供します。ただし、XDR は MDR のような人間のアナリスト チームを含むマネージド サービスではありません。
MDR との比較MXDR
拡張検出と応答 (MXDR) は次世代の MDRです。MDR のように、MXDR は技術的ソリューションと人間の専門知識を組み合わせたマネージド サービスです。ただし、MXDR では、プロバイダーは XDR セキュリティ ソリューションを使用して、より幅広い IT 環境にわたって保護を拡張します。これらのサービスは、エンドポイントを超えた包括的なカバー範囲、リアルタイム監視、サイバー攻撃の追求を提供するため、MXDR は従来の MDR よりも迅速かつ効果的である場合がよくあります。さらに、MXDR はサイバー攻撃の事例に関するより完全な情報を提供します。
MDR との比較EDR
MDR プロバイダーで頻繁に使用されるツールであるエンドポイントでの検出と対応 (EDR) は、エンドポイント上の動作と発生を追跡し、ルールベースの自動化を使用してサイバー脅威に対応します。EDR が異常を検出すると、詳細な調査のためにセキュリティ チームにアラートが送信されます。今日、EDR ソリューションには、機械学習、行動分析、統合ツールなどの高度な機能が含まれている場合が多く、エンドポイント保護プラットフォーム (EPP) の主要な機能になっています。社内セキュリティ チームがこのような複雑なシステムを管理するのは困難で時間がかかるため、MDR サービスが役立ちます。
MDR との比較MSSP
MDR サービスの前身であるマネージド セキュリティ サービス プロバイダー (MSSP) は、セキュリティ システムの監視と管理を提供するために作成されました。MSSP は、組織のネットワークとエンドポイントを全般的に監視し、社内セキュリティ チームにアラートを送信します。MDR プロバイダーとは異なり、MSSP は一般的にサイバー脅威に積極的に対応することはありません。
MDR との比較SIEM
セキュリティ情報イベント管理 (SIEM) は、組織の既存のセキュリティ ツールからデータを収集し、その情報を分析してサイバー脅威を特定する技術的なソリューションです。SIEM には、MDR サービスのような人的要素はありません。
適切な MDR セキュリティ サービスの選択
サイバー脅威がますます複雑化する今日、組織のリスクを軽減するための対策が不可欠です。MDR サービスは、効率的かつ先回り型で、従業員を追加することなくコスト効率の高いソリューションを提供します。
MDR ソリューションを検討する場合、信頼できるサービスを提供する信頼できるプロバイダーを選択することが重要です。お客様独自のニーズに合致し、サイバー脅威への迅速な対応、業界の高度な専門知識、包括的なカバー範囲を 24 時間体制で提供するパートナーを見つけてください。
Microsoft Security の詳細情報
よく寄せられる質問
-
MDR は、テクノロジと人間の専門知識を組み合わせて、組織がサイバー脅威を先回りして追求し、検出して迅速に対応するのに役立つサイバーセキュリティ サービスです。
-
MDR ソリューションは、24 時間体制でセキュリティをカバーしながら、日々進化するサイバー脅威、人材不足、コンプライアンスへの懸念、IT 担当従業員のエンゲージメント、セキュリティ コストなど、企業が抱えるさまざまな経営課題の解決に役立ちます。
-
マネージド検出と応答 (MDR) とは、高度な検出と迅速なインシデント応答を使用して、サイバー脅威から組織を先回りして保護するサイバーセキュリティ サービスです。MDR サービスは、サイバー脅威の追求、監視、対応を行うためのテクノロジと人智の結集です。セキュリティ オペレーション センター (SOC) は、社内チームまたはアウトソーシングされたチームで、サイバー脅威を監視し、分析して対応する一元的なチームです。組織が MDR サービス プロバイダーと連携することで、スタッフを追加することなく、フルタイム SOC にアクセスできるようになります。
-
MDR は、サイバー脅威を追求し、検出し、対応するために、テクノロジ ツールと人間のアナリストを組み込んでいます。MDR プロセスには、一般的に次の 5 つのコンポーネントまたはステップが含まれます。
- 優先度付け
- 追求
- 調査
- 修復
- 阻止
Microsoft 365 をフォローする