サイバー攻撃の巧妙化・高度化に伴い、昨今注目されているEDR、XDR、MDRなどのソリューション。ランサムウェア、サプライチェーン攻撃といった高度な攻撃への対策として導入が進んでいる。この記事では、MDRとEDR、XDRのそれぞれの概要と違い、そしてMDRを選定する際の重要なポイントについて解説していく。
MDRとEDR、XDRの違い
MDRとは「Managed Detection and Response」の略称であり、EDR、XDRなどの運用管理をマネージド・サービスとして提供しているソリューションのことだ。そして、EDRとは「Endpoint Detection and Response」の略称であり、企業・組織内の不正な行動を素早く検知して、その後の迅速な事後対応や被害の最小化を実現するソリューションである。
サイバー攻撃のプロセスを7つの段階に分類して可視化したものとして、米国のロッキード・マーチン社が提唱しているサイバーキルチェーンが知られている。EDRは4)の「エクスプロイト」以降、攻撃者が侵入した後の行動を検知して、適切な対応を講じるためのソリューションである。
図1:サイバーキルチェーンの7つの段階
EDRではエンドポイントと呼ばれるパソコンやスマートフォン(以下、スマホ)などの端末にソフトウェアをインストールする。そして、インストールされたデバイスからログを収集して、サーバーにデータを集約することで管理する。こうしたログを集中的に分析することで、サイバー攻撃の兆候を検知するのだ。
XDRはEDRの概念を拡張したソリューションとなる。EDRはエンドポイントを対象としたソリューションであるが、XDRではエンドポイントだけでなく、ネットワークやクラウドなどの異なるセキュリティソリューションやセキュリティレイヤーから収集したログ、イベントデータをも統合し、エンドポイントの調査、分析、対応、検知を行うソリューションだ。
EDRやXDRでは、サイバー攻撃による兆候を検知するために常時監視での対応が前提となる。また、監視する中で兆候が見つかった場合には、その後の迅速な対応も求められる。SOCなどのセキュリティ専門のチームが組織に存在しない場合、こういった対処は難しい。そこでマネージド・サービスが利用されることになる。セキュリティソリューションをマネージドで提供するサービスは「MSS(Managed Security Service)」と呼ばれる。
一般的に、セキュリティシステムの運用、管理には、セキュリティに詳しい専門人材を擁していることが前提となる。しかし、そうした人材は採用することも教育することも難しく、社内に配置することは多くの企業でハードルが高い。そのため、こうしたマネージド・サービスを利用することで、運用管理をアウトソースすることが選択肢の1つとなる。
MDRの「マネージド」とは
先述のとおり、MDRはEDRやXDRをマネージドで利用できるソリューションである。マネージドの対象となるのは運用や保守といった業務であり、MDRの場合は一般的に「フルマネージド型」、「セミマネージド型」の2つのサービスがある。
フルマネージド型
マネージドの委託事業者がEDR、XDRなどのソリューションを用いて24時間365日の常時監視を行う。エンドポイントの端末にて異常が検知された場合、該当する端末の隔離をはじめ、速やかな復旧のための対策を講じる。また、インシデントの分析を行い、以降の対策に反映させることでセキュリティレベルを高めていく。
すなわち、フルマネージド型では、基本的に対策全般をニーズに応じて委託事業者が行うサービスとなる。社内にセキュリティ専門の人材が存在しない場合でも、サービスの導入決定から速やかに高いレベルのセキュリティ体制が構築できるのが特長だ。
セミマネージド型
フルマネージド型では対策全般を委託事業者が担うのに対して、セミマネージド型では委託事業者との間で必要に応じて業務の範囲を絞り込んで対応する。一般的に、脅威モニタリングと呼ばれる、異常の検知や分析といった専門性の高さが問われる業務を専門会社へ委託し、端末の隔離や復旧作業のような事後対策の部分は自社で担う必要がある。
また、セミマネージド型でも24時間365日の常時監視を行うことで異常を検知するのに変わりはない。導入時に取り決めした業務範囲に応じて連携していくことになるため、委託事業者には対応力が要求される。
MDRが注目される背景
なぜ、MDRが昨今注目されているのか。それは、マルウェアの進化やサイバー攻撃の巧妙化・高度化により、従来のマルウェア対策であるエンドポイントの防御に限定した対策ではカバーし切れなくなっているためだ。
侵入されることを前提とした対策
近年、企業・組織の現場では業務遂行にあたってさまざまなモバイル端末が利用されるようになった。1人1台のノートパソコン、スマホ、そしてタブレットまで併用することもあるだろう。また、リモートワークの浸透により、社内外の境界は曖昧になっている。
こうした時代の変化は、サイバー攻撃者を利する状況を生み出している。攻撃手法が巧妙化する上、攻撃対象の端末も増加する一方であり、侵入を未然に防ぐことは極めて難しくなっている。そのため、侵入を未然に防ぐための対策だけでなく、侵入されてしまうことを前提として被害を最小限に抑えるための対策が必要になっているのだ。
蔓延するランサムウェアへの対策
2017年に発生したWannaCryの流行を1つの契機に、日本国内でもランサムウェア攻撃による企業・組織への被害が増加傾向にある。実際、警察庁が2023年に公表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について(図2)」において、被害件数が高い水準で推移していることが報告されている。
図2:企業・団体等におけるランサムウェア被害の報告件数の推移
すでにマルウェア対策は必須の対策と認識されており、多くの企業でマルウェア対策のソリューションは導入されていることだろう。しかし、こうしたランサムウェアによる被害は、従来からのエンドポイントにおけるマルウェア対策だけでは十分に防ぐことが難しく、より高度な対策が求められている。
サプライチェーン攻撃への対策
コンプライアンスが問われる時代となっているが、セキュリティ対策も経営課題として認識されるようになっている。こうした時代の移り変わりを反映するかのごとく、大企業を中心にセキュリティ対策への投資が進んだ結果、攻撃者は直接的に大企業を狙わず、サプライチェーン上にある比較的脆弱な中小・中堅企業をターゲットにサプライチェーン攻撃を行うようになった。
グローバルで商取引を行う大企業の場合、サプライチェーンに連なる企業は多数存在する。攻撃者としては、その数ある企業群のいずれかに侵入できれば攻撃対象を狙う機会を得られたことを意味する。そのため、侵入されたことを迅速に検知して対処することは、サプライチェーンへの影響を限定的にとどめることにつながる。つまり、サプライチェーン攻撃であってもランサムウェア攻撃であっても、予防だけでなく事後の対応も踏まえた対策が求められているのだ。
MDRの選定における4つのポイント
EDR、XDRなどのソリューションの保守・運用・管理をアウトソースするサービスであるMDR、その選定において押さえておきたいポイントを4つ挙げるので参考にしてほしい。
エンドポイントソリューションとの連携
MDRの導入においては、従来のエンドポイント製品と連携していくことが重要となる。EDRやXDRは侵入されてしまうことを前提として、攻撃者の行動を速やかに検知し、その後の対応を迅速に進めることで被害を最小限に抑えるためのソリューションだ。つまりは、侵入そのものを未然に防止するソリューションではないため、エンドポイント製品による侵入防止のための対策は依然として必要となるのだ。そうした前提に立つと、エンドポイントソリューションとシームレスに連携可能なMDRを選択することは検討する価値があるだろう。
ESET PROTECT MDRでは、エンドポイントソリューションとXDRを1つのソリューションとして提供する。そのため、ソリューション間での連携開発や相関分析設定といった対応も必要とせず導入できる。また、機械学習エンジンであるESET Augur、世界中の脅威情報が集積するデータベースであるESET LiveGridなどとの連携により、高度な脅威検出が可能となっている。
マネージド・サービスの対応力
先述のように、マネージド・サービスでは委託事業者の対応力が問われる。インシデントが生じた際、速やかに初動対応することがその後の被害レベルに大きく影響することになる。また、インシデントが生じた場合、フルマネージド型、セミマネージド型を問わず、委託事業者と連携して対応を進めていくことになる。
こうした特性を考慮しても、委託事業者の対応力がソリューション選定の重要な要素となる。また、近年のサイバー攻撃の攻撃手法は、マルウェアともに高度化している。そのため、対応力に加えてセキュリティの専門性も問われることになるのは言うまでもないだろう。
管理ツールの使い勝手
EDR、XDR、MDRといったソリューションの場合、管理ツールを利用することになるため、管理ツールの有する機能や使い勝手も考慮する必要がある。ESET PROTECT MDRでは、プリセットとして900を超える脅威を検出するためのルールが用意されており、追加でルールを作成することも容易に行える。また、クラウドベースであり、Webブラウザーからのアクセスに対応しているため、昨今のリモートワークを含むハイブリッドワークでの業務環境に適していると言える。
導入のしやすさ
EDR、XDR、そしてMDRといったソリューションは従来、大企業で導入されるケースが多かったこともあり、導入ライセンス数の下限設定が高く、中小企業では導入できないソリューションも存在する。ESET PROTECT MDRでは、下限が50ライセンスという中小企業でも導入しやすいESET PROTECT MDR Liteというラインアップもある。加えて、クラウドサービスのため、自社でサーバー構築・運用が不要なことも導入のしやすさにつながるだろう。
ESET PROTECT MDRは、ESETが長年培ってきた脅威検知のテクノロジーが用いられている。また、ESETの導入を20年支援してきたキヤノンMJのノウハウ、対応力がマネージド・サービスとして集約されている。
セキュリティ監視サービス型XDRソリューション
ESET PROTECT MDR
今後もサイバー攻撃はより高度化、巧妙化が進んでいくことは想像に難くない。そのためにも、侵入されることを前提としたEDR、XDRのようなソリューションが必要だ。しかし、こうした高度なソリューションの場合、導入・運用のための人材獲得や運用体制構築がネックとなる。そのような状況を解消するためにも、MDRのようなマネージド・サービスの利用も検討してほしい。
