MDR導入に関するビジネスの課題

課題#1：人員配置/リソース

セキュリティチームの人員確保に苦労していた組織は、進化する脅威の状況に対処するする革新的なセキュリティテクノロジーを採用する際にさらに大きな課題に直面しています。

現在、ほとんどの組織では、セキュリティツールをスタックに含めていますが、円滑に管理する時間がありません。

ますます巧妙化する脅威に対してソリューションを完全に展開して最適化するための時間やリソースが不足している場合、組織が最先端のツールに投資することは、支援するというよりも、損害を与える可能性があります。

課題#2：アラート疲れ

もう一つの課題は、これらすべての新しいセキュリティテクノロジーからの膨大な数のアラートを管理することです。これは新しい問題ではありませんが、IoT、リモートワーカー、接続済みのサプライチェーンパートナー、およびハイブリッドネットワークの形式でエンドポイントが普及することで桁違いに増加しています。

各アラートへの対応方法を決定するには、通常社内に保持されていよりも多くの人員と専門知識が必要です。脅威が重大であると判断された場合、組織はその脅威を修復し、エンドポイントを安全な状態に戻すための関連スキルを持ち、侵入が深刻な侵害になる前に迅速に修復を実行する必要があります。

MDRの仕組み

MDRは、リモートで組織内で検知された脅威を監視、検知、対応します。エンドポイントでの検知と対応 (EDR) は通常、エンドポイントのセキュリティイベントを必要に応じて可視化します。

関連する脅威インテリジェンス、高度な分析、フォレンジックデータは、人間のアナリストに渡され、これらのアナリストがアラートのトリアージを実行し、ポジティブインシデントの影響とリスクを低減するために適切な応答を決定します。最終的に、人間と機械の機能を組み合わせることで、脅威が取り除かれ、影響を受けるエンドポイントが感染前の状態に復元されます。

MDRのコア機能は次のとおりです。

1. 優先順位付け

膨大な量のアラートをより分けることに労力を費やしている組織は、優先順位管理を使用することで、最初に対処すべきものを判断することができます。しばしば「マネージドEDR」とも呼ばれる優先順位管理は、自動化されたルールと人間による検査を適用して、無害なイベントやフォールスポジティブを真の脅威と区別します。その結果は追加コンテキストで強化され、高品質のアラートのストリームに抽出されます。

2. 脅威ハンティング

すべての脅威の背後には、標的側の対策を出し抜く方法を考えている人間がいます。マシンは非常に賢いものですが、マシンに狡猾さはありません。つまり、自動検知システムでは提供できない要素を追加するには、人間の頭脳が必要です。自動化された防御の層が見逃したものを捕まえるために、広範なスキルと専門知識を持つ人間の脅威ハンターが、最も巧妙かつ最も回避的な脅威を特定して警告します。

3. 調査

組織はマネージド調査サービスを使用し、追加のコンテキストでセキュリティアラートを強化することで、脅威をより迅速に判断できます。組織は、何が発生したのか、いつ発生したのか、誰が影響を受けたのか、どの程度の攻撃だったのかをより詳しく理解することができます。組織はその情報を使用して、効果的な対応を計画することができます。

4. ガイド付き対応

ガイド付き対応は、特定の脅威を封じ込め、修復するための最善の方法について、実用的なアドバイスを提供します。組織は、システムをネットワークから隔離するかどうかといった基本的なアクティビティから、脅威を排除する方法や攻撃から段階的に回復する方法といった最も高度なアクティビティまで、アドバイスを受けることができます。

5. 修復

インシデントの最後のステップは復旧です。この手順が適切に実行されなければ、エンドポイント保護プログラムへの組織の投資がすべて無駄になります。マネージド修復は、マルウェアの削除、レジストリのクリーンアップ、侵入者の排除、不正アクセスを持続させるメカニズムの削除によってシステムを攻撃前の状態に復元します。マネージド修復により、ネットワークは既知の良好な状態に戻り、それ以上の侵害を防ぐことができます。

MDRの利点とは？

MDRソリューションを使用すると、組織は検知までの時間（および対応までの時間）を通常の280日からわずか数分にまですぐに短縮できるので、イベントの影響を劇的に軽減することができます。

しかし、検知までの時間を数ヵ月からわずか数分に短縮することだけが、このソリューションの利点ではありません。組織は次のこともできるようになります。

• セキュリティ設定を最適化し、不正なシステムを排除することで、セキュリティポスチャを改善し、潜在的な攻撃に対するレジリエンスを高める。
• 継続的なマネージド脅威ハンティングにより、隠れた巧妙な脅威を特定して阻止する。
• より効果的に脅威に対応し、ガイド付き応答とマネージド修復を通じてエンドポイントを既知の良好な状態に復元する。
• 事後対応や反復の多いインシデント対応作業からスタッフを解放し、より戦略的なプロジェクトに労力を振り向けられるようにします。

MDRサービスと他のエンドポイント保護ソリューションとの違いは？

MDRとEDRの比較

エンドポイントでの検知と対応 (EDR) はMDRプロバイダーが使用するツールセットの一部です。EDRは、エンドポイント上の動作とイベントを記録して保存し、それらをルールベースの自動応答および分析システムにフィードします。異常が検知されると、人間による調査のためにセキュリティチームに送信されます。EDRにより、セキュリティチームは、侵害の痕跡 (IoC) やシグネチャ以上のものを使用して、ネットワークで何が起こっているかをより深く理解できるようになります。

EDRオファリングは、時が経つにつれ、機械学習や振る舞い分析などのテクノロジーを取り入れ、他の複雑なツールとの統合も可能になり、より複雑になっています。多くの社内セキュリティチームには、EDRシステムを十分に活用するためのリソースと時間がありません。そのため、EDRソリューションを購入する前よりも組織の安全性が低下する可能性があります。

MDRは、人間の専門知識、成熟したプロセス、脅威インテリジェンスを導入することで、この問題を解決します。MDRは、エンタープライズグレードのセキュリティスタッフやセキュリティオペレーションセンター (SOC) のコストをかけずに、組織がエンタープライズグレードのエンドポイント保護を実現できるように設計されています。

MDRとMSSPの比較

マネージドセキュリティサービスプロバイダー (MSSP) は、MDRの前身です。MSSPは通常、テクノロジー管理、アップグレード、コンプライアンス、脆弱性管理などのさまざまなサービスとともに、ネットワークのイベントを幅広く監視し、検証済みのアラートを他のツールやセキュリティチームに送信しますが、一般的には脅威に対して積極的に対応しません。これらのアクティビティはお客様が担当しますが、それに必要な専門知識を組織が保有していないことは珍しくありません。その結果、MSSPのお客様は、緩和策や修復を実行するために、コンサルタントやベンダーを新たに雇う必要も出てきます。

MDRサービスは、出現する脅威を迅速に検知して対応することに特に重点を置いています。また、MDRは緩和と修復の機能を提供し、最小限の投資で即座に価値をもたらすことができます。

MDRとマネージドSIEMの比較

セキュリティ情報およびイベント管理 (SIEM) は、幅広いテクノロジーカテゴリーです。すべてのSIEMは、多くのネットワークソースやその他のセキュリティデバイスからのデータを集約して分析することで、不審なアクティビティを示している可能性のある異常を捕えることから始まります。その後は、SIEMごとに機能は大きく異なります。テクノロジーのみのソリューションもあれば、マネージドイベント処理やアラートサービスに近いものもあります。

すべてのSIEMが共通して抱えている問題の1つとして、顧客からは、SIEMのデータによって明らかになった問題を解決する際に、その結果を理解するのが困難であるという声が上がっています。SIEMユーザーの約45%が、SIEMソリューションを十分に活用するための専門知識が社内に不足していると報告しています。また、SIEMは高価で、リソースを大量に消費する可能性があります。一方、MDRは、ネットワークフットプリントが小さく、価値実現までの時間が短いという特徴があります。

MDRサービスの選び方 – 5つの質問

MDRソリューションには幅広いサービスが含まれているため、探し始める前に自身の組織の現在の機能を確実に把握して、既存のセキュリティ投資を補完するソリューションを選択できるようにしてください。ここでは、調査し始める際にMDRベンダーに尋ねるべき5つの重要な質問をご紹介します。

質問1. MDRのスタッフであるアナリストはどのような専門知識を持っているか？

選択するソリューションは、新たにスタッフを雇うことなく、新しいスキルと成熟度を導入できるものである必要があります。知識移転に積極的なベンダーを探してください。

質問2. MDRサービスでは、有効利用のために必要な時に必要なデータとシステムにアクセスできるか？

MDRソリューションが有効であるかどうかは、その業務を実施するために必要な幅広い詳細なデータへアクセスできるかどうか、そのデータをリアルタイムで入手できるかどうかによって大きく左右されます。クラウドネイティブなソリューションを使用すると、適切なデータに最適な方法でアクセスできる可能性が高くなります。

質問3. MDRチームは、最新の脅威にどのように追いつき最新の状態を維持しているのか？

セキュリティアナリストは、攻撃者の技術力以上のものに注目しています。企業を標的にするために使用されている現在の技術、戦術、手順に対する理解を完全にするために、セキュリティアナリストは、文化的、地政学的、言語的要因を研究しています。ほとんどの企業には、このレベルのスキルを持っているスタッフはいないため、そのようなスキルを持つMDRベンダーを選択してください。

質問4. MDRプロバイダーはお客様のチームとどのようにコミュニケーションするのか？

ある時点で、MDRチームはワークフローをあなたのチームに引き継ぎます。この作業は、新しい摩擦要因を生み出したり、新しいシステムを学んだりする必要がないように、単一画面コンソールなどの中央コミュニケーションハブを介して実施する必要があります。この引き継ぎは、チームの対応に遅れを発生させることなく行う必要があります。

質問5. 24時間365日体制のサービスを提供しているか？

大多数の組織は、セキュリティ運用を24時間体制で行っているわけではありません。法を順守する市民が眠っている間に攻撃者が活動を起こすため、セキュリティは24時間体制で運用する必要があります。