企業がMDRソリューションの導入を検討すべき理由や、MDRサービスの選び方、確認すべき5つのポイントについて解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「WeLiveSecurity」の記事を翻訳したものである。
サイバー攻撃の驚くほど速い進化に伴い、企業のアタックサーフェス(サイバー攻撃の標的となる対象)は拡大を続けている。コロナ禍でデジタルトランスフォーメーションへの投資が急増した結果、さまざまな技術開発が促進され、普及しつつあるからだ。
アタックサーフェスの拡大により、スキルや能力、リソースの観点から、防御側が攻撃側に遅れを取る恐れが生じている。企業を脅威から保護するために、セキュリティ部門は何らかの対策を講じるべきだ。例えば、専門家へのアウトソースを含め、サイバー攻撃の防御や検知、対応を早急に検討する必要がある。
MDR(Managed Detection and Response)は、脅威の監視や検知、対処などを包括したソリューションだ。ただし、提供するベンダーによってサービス内容が異なる。そこで、企業がMDRソリューションの導入を検討するべき理由と、選定時に確認すべき5つのポイントについて解説する。
MDRが必要な理由
コロナ禍でIT投資が増加し、以下のトレンドが生まれた。
- 社内のセキュリティ担当者の学習スピードを上回る勢いで、クラウドコンピューティングの導入が進み、設定ミスにより企業が攻撃にさらされる結果に陥った
- ハイブリッド型勤務の導入で、自宅で安全に管理されていない端末が業務に使用されたり、従業員が注意散漫となり、リスクのある行動を取ったりする可能性が高まった
- サプライチェーンがより複雑になり、マネージドサービスプロバイダー(MSP)や、上流のオープンソース・リポジトリ、および小規模のサプライヤーなど、攻撃の標的範囲が広がった
- RaaS(ランサムウェア・アズ・ア・サービス)により、巧妙で多段階のランサムウェア攻撃を誰でも仕掛けられるようになった
- 社内ネットワーク内に攻撃を拡散するラテラルムーブメント(水平展開または横展開)に正規ツールが悪用され、不正侵入の兆候を見分けるのが難しくなった
- サイバー犯罪の闇市場は、漏えいした情報で溢れている。本物のアカウント情報を悪用し、境界防御をすり抜けるのは、攻撃者にとって容易となった
- サイバー犯罪市場の成熟に伴い、サイバー攻撃の初期ステップの不正アクセス手段を提供するイニシャルアクセスブローカーをはじめとし、攻撃者の役割が仕組み化されてきた
- CVE(Common Vulnerabilities and Exposures)で管理している脆弱性データベースの公開が進んでいるが、かえって不正侵入を試みる攻撃者に機会を与えてしまった
以上のトレンドにより、不正侵入リスクがより高まっている。2021年、米国では情報漏えいが過去最多を記録した。さらに、これらのインシデントは検出するのが困難で、その収束に多額のコストを要してしまう。例えば、2,200件~10万2,000件規模の情報漏えいの検出から収束に至るまでの平均的な期間は277日、平均コストは440万ドル(5億7,000万円相当)に上る。
予防だけでは不十分なセキュリティ対策
上記の状況を踏まえると、セキュリティにおいて予防的なアプローチだけでは不十分だ。攻撃者は企業のネットワークに侵入する方法や、脆弱性を探し回っているからだ。漏えいしたアカウント情報の悪用やフィッシング攻撃、ブルートフォース攻撃によって不正侵入される場合もある。そこで、予防的な施策だけでなく、侵入した脅威の検知や対応方法を考慮しておく必要がある。不正侵入を想定した継続的な監視により、侵入した脅威が活動を始める前にその兆候を検出できるようになるからだ。同時に、深刻な情報漏えいが発生しないよう、SecOps(セキュリティ運用)チームがインシデントを封じ込める作業を進めることが必要となる。
このようなアプローチの実装に向け、XDR(Extended Detection & Response)が徐々に普及してきている。XDRとは、エンドポイントやメール、クラウドなど複数の領域で重要なイベントの検知と、攻撃を食い止めるための対応や復旧機能を組み合わせたソリューションだ。しかし、XDRがすべてを解決できるわけではない。特に、以下の状況では効果が限定的なものとなってしまう。
- 社内担当者のスキル不足で、XDRを運用できる分析者が足りない
- 人員不足が原因で、導入と運用管理に課題がある。特に、複数領域でXDRを運用する際には顕著となる
- 人員配置や適切なXDRツールの購入・維持に高いコストがかかる
- 分析担当者が脅威の優先順位を適切に判断できないほど、ツールによる過剰なアラートが生じる
以上の理由で、XDRの運用をアウトソーシングできるMDRに注目が集まるようになった。MDRでは、専門的なノウハウや知識を保有する分析担当者が、脅威の検知や優先順位付け、分析、対処まで行う。それでは、多くのMDRソリューションが提供される昨今において、自社にとって最適なサービスを選択するにはどうすればよいのだろうか?
次に、確認すべきポイントを解説する。
MDRサービスの選定で確認すべき5つのポイント
MDRは、業界をリードするテクノロジーと人の専門知識をうまく融合させたサービスだ。これらは、SOC(Security Operation Center)と集約され、脅威分析やインシデント対応の専門家がサイバーリスクを最小化するためにアラート分析サービスを提供する。MDRのサービスで確認すべき5つのポイントは、次のとおりだ。
- 優れた検出・応答技術:高い検出率で誤検出が少なく、システムへの負荷が軽い、評判の良い製品を提供しているベンダーを候補に挙げること。第三者による評価や顧客の声も参考にする
- 最先端の研究開発:有名なマルウェア研究所などを運営するベンダーなら、最新の脅威までカバーしていると期待できる。それは、所属する専門家が、新たな攻撃やリスクを軽減する方法を常に調査・研究しているからだ。このようなインテリジェンスは、MDRでは非常に重要だ
- 24時間365日の運用支援:サイバー脅威は世界的な現象であり、攻撃はどこからでも起こり得るため、昼夜を問わず脅威を監視し続けるベンダーに依頼すべきだ
- 高品質なカスタマーサポート:MDRチームの業務範囲は、新たな脅威を検知し、対処するだけにとどまらない。社内のセキュリティチームやSOCチームの業務範囲に及ぶような役割を担う場合もある。もはや、単なる業務委託ではなく提携関係に値するため、高品質なカスタマーサポートが必要だ。グローバルなサービス展開と、多言語対応サービスを提供するベンダーを選ぶ必要がある
- 要望に応えたサービス:規模やIT環境、必要な防御レベルなど、企業によって求める要件が異なるため、サービス内容をカスタマイズできるMDRベンダーを選定する
世界のMDR市場は、今後5年間で年率16%成長し、2027年までに56億ドル(7,300億円相当)に達するとの予測がある。多くのベンダーが存在する今、どのベンダーに依頼するか意思決定を下す前に、自社の課題を十分に整理してから選択することが大事だ。