MDRとは？2種類のサービスタイプと主なサービス内容を解説

EDRとの違い

MDRを理解する上で重要となる要素の一つが、EDR（Endpoint Detection and Response）です。このEDRは、エンドポイントに対する脅威の検出と対応を行う仕組みを指します。

MDRとの違いは、エンドポイントに特化しているという点です。エンドポイントとは、スマートフォンやパソコン、サーバーといったデバイスのことを意味します。EDRは個々のエンドポイントに着目し、そのセキュリティ対策を強化することに主眼を置いています。

【関連記事】EDRとは？EPPとの違いや機能・製品選びのポイントをわかりやすく解説

SOCとの違い

SOCとは「Security Operation Center」の略語で、企業内に設置されたセキュリティ部門やチームのことです。SOCは主にIT機器やネットワークの監視・分析、加えてサイバー攻撃の検知を行います。

それに対してMDRは、脅威の検出から対応までを担うアウトソーシングサービスであり、特定の脅威に対する対策だけでなく、全体的なセキュリティ状況の改善を目指します。また、MDRは外部のサービスやベンダーを指すため、SOCとMDRは内容が根本的に異なります。

【関連記事】SOCとは｜その意味やCSIRT・MDRとの違い・構築するためのポイント・課題点

サイバー攻撃が高度化している

近年のサイバー攻撃は手口が高度化し、攻撃の種類も増えています。進化する多彩なサイバー攻撃に対応するために、多くの企業がMDRを必要としているのです。

経済産業省が公表する「サイバーセキュリティ経営ガイドライン Ver 2.0」によると、セキュリティ侵害の発覚経緯は47％が「外部からの指摘」だとされています。

また、約4割の企業がサイバー攻撃を受けた経験があると回答しており、社内だけでサイバー攻撃を対策した場合、攻撃による被害を受けていても、そのことに気付くことができないケースが多々あります。

こういった自社だけでは気付けないサイバー攻撃に対し、脅威の検出、ログの収集、攻撃の監視をするMDRが有効であり、年々その重要性が高まっているのです。

【関連記事】サイバー攻撃とは？手口の種類や事例、最近の動向と対策を詳しく紹介

高度なセキュリティ人材が不足している

高度なセキュリティ人材が社内で不足していることも、MDRが注目されている理由の一つです。以前に比べてセキュリティ人材は増えつつありますが、求められる専門レベルが高まり、必要とする企業が増加傾向にあるため、相対的に専門スキルを持った人材が不足しています。

2022年4月にIPA（情報処理推進機構）が公表した「デジタル時代のスキル変革等に関する調査(2021年度)」を見ると、IT人材について事業会社は42.1％が「大幅に不足している」と回答し、「やや不足している」と回答した事業会社は48.6％にまでのぼります。

IT企業でも、全体の9割近くが「大幅に不足している」「やや不足している」と回答しました。この調査から分かる通り、多くの企業でIT人材の不足が起こっています。

専門知識と技術を持つ人材が不足している現代だからこそ、MDRのようなアウトソーシングサービスが注目されているのです。MDRの利用により、セキュリティ人材の不足の穴を埋めることが可能です。

セキュリティ対策を強化する企業が増えた

近年では、Webサイトやアプリケーションを運営する企業が増え、セキュリティ対策が重要な経営課題となっています。その結果、自社だけでセキュリティ対策を一任するのではなく、MDRに依頼する企業が増加しています。

2022年3月に経済産業省が「サイバーセキュリティ対策の強化について注意喚起を行います」を公表し、サイバー攻撃の注意喚起を行ったことにより、多くの企業がセキュリティ対策に乗り出しました。

業界全体でセキュリティ対策の強化が進んだことで、MDRによる専門的な監視と対応が評価され、その導入が進んでいます。

【関連記事】企業が取り組むべきセキュリティ対策とは？重要性や対策内容を解説

セミマネージド型

セミマネージド型のMDRは、インシデント（セキュリティ侵害事案）の一部を請け負うサービスです。対応の最終的な判断や責任は、サービスを依頼したユーザー側に委ねられます。

▼セミマネージド型の主なサービス

• 不審なネットワーク動向の検知
• アラートの通知
• 初期対応の提案

一時的な対処をサポートするのが特徴で、その先の攻撃に対するアクションなどはユーザー側で行う必要があります。このタイプは、社内にセキュリティに詳しい人材がいる場合や、最終的な対応を自社のポリシーに基づいて行いたい場合に向いています。

フルマネージド型

フルマネージド型のMDRは、セミマネージド型よりも幅広い範囲でインシデント対応を行うサービスです。セミマネージド型では脅威の検知や通知、事象の分析までにとどまりますが、フルマネージド型では、その先の技術対応まで含まれます。

▼フルマネージド型の主なサービス

• セミマネージド型に含まれる内容
• 脅威に対する技術対応

また、高度な技術を持つ専門家による全面的なサポートも実施します。フルマネージド型は、企業内部にセキュリティの専門家がいない場合や、セキュリティ対策を専門家に任せて他の業務に集中したい場合に有効です。

監視（検知）

脅威の監視（検知）がサービス内容に含まれます。外部から脅威的なアクションがあった場合、その内容を検知し、ユーザーに報告するサービスです。

このサービスは24時間365日体制で行われることが多く、企業が自社のネットワーク状況を常時把握できるというメリットがあります。また、監視には特殊な技術や経験が必要となるため、アウトソーシングすることで効果的な監視が可能です。

初動対応

初動対応もサービス内容の一つで、これは脅威を検知した際、その事象を確認するアクションのことです。脅威と判断した場合は、以下のような対応も検討します。

▼初動対応に含まれる具体的なアクション

• デバイスのネットワーク隔離
• セーフリストやブラックリストへの登録
• 専門家による状況確認・対策方針の策定

この初動対応は、脅威の被害を最小限に抑えるための重要なプロセスです。そのため、スピーディかつ正確な対応が求められます。

専門的な知識と経験を持つMDRにこの役割を任せることで、被害拡大の防止と迅速な問題解決に期待できます。

調査

初動対応が完了したら、MDRによる調査に移ります。このフェーズでは、ウイルスやマルウェアの侵入経路、潜伏範囲などを調査し、その結果をレポートとして報告します。

このアクションにより、具体的な脅威の特定、効果的な対策の進め方を検討できるようになるため、サイバー攻撃による被害拡大を防ぐ上では重要です。また、毎月の運用レポートを作成するベンダーが多く、その場合はセキュリティの状態を定期的に把握できます。

インシデント対応

4つ目のアクションとして、インシデント対応について解説します。MDRでは被害内容の詳細を把握するため、デバイスの調査や対応方針の策定を支援します。

▼インシデント対応に含まれる具体的なアクション

• フォレンジック調査（デバイスやネットワーク内の情報調査）
• 不審な挙動の解析
• 脅威に関する通知サービス

MDRのインシデント対応により、脅威からの回復と再発防止のための対策が進められ、今後の脅威に対して迅速かつ効果的に対応できるようになります。

最新の脅威に対応しているか

一つ目のポイントは、最新の脅威に対応しているかという点です。サイバー攻撃は日々進化し、その脅威は高度化しているため、新種のウイルスや高度な攻撃に対応できるサービスを選ぶ必要があります。

サービスを選ぶ際は、ベンダーが最新の脅威情報をどのように取得し、どのように対応しているかを確認しましょう。例えば、リアルタイムで脅威情報を更新しているか、新種のウイルスに迅速に対応できる体制が整っているか、などがポイントです。

【関連記事】コンピューターウイルスの種類一覧｜感染経路や被害事例についても紹介

24時間365日の運用支援に対応しているか

24時間365日の運用支援に対応しているベンダーが推奨されます。サイバー攻撃はいつ、どこでも起こり得るため、昼夜問わず常に監視し続けるサービスが求められます。

▼確認すべき主なポイント

• 深夜や休日でも迅速に対応してくれる体制が整っているか
• 緊急時の連絡体制はどうなっているか

また、ベンダーと連絡を取り合う最中のレスポンスの早さにも注目しましょう。

高品質なカスタマーサポートは備わっているか

MDRサービスを選ぶ際は、高品質なカスタマーサポートの有無を確認しましょう。MDRサービスは単なる業務委託ではなく、社内のセキュリティチームと連携して対策を進める必要があります。

連携に支障がなく、脅威に対するアクションを効率化するためにも、高品質なカスタマーサポートの有無が選択基準の一つとなります。具体的には、対応スタッフの技術力や経験、対応フローなどを評価すると良いでしょう。