攻撃者が初期侵入から横展開（ラテラルムーブメント）へ移るまでに要する時間は、どれくらいであろうか？数日か？数時間か？残念ながら、多くの企業・組織では「数分」単位で被害が拡大するとの認識が浸透しつつある。実際、2024年に発表された調査によると、ブレイクアウトタイム（攻撃の横展開が始まるまでの時間）の平均は48分で、前年から22%短縮されている。また、同調査で懸念されたのは、サイバー攻撃を封じ込めるまでに要した平均時間（MTTC: Mean Time To Contain）が、多くの場合、「数時間」単位で計測されているという点である。

つまり、攻撃の進行速度に対し、防御や封じ込めの対応が遅れている企業が多いことを示唆している。幸い、ネットワーク管理者には、攻撃者に対抗するための切り札がある。信頼できるベンダーが提供する高品質なMDR（Managed Detection and Response）に投資すれば、専門家チームによる24時間体制の支援を通じて、迫りくる脅威の早期発見・封じ込め・被害軽減を実現できる。今こそ最短距離で対策を進めるときだ。

MDRが必要になる理由

MDR市場は、今後7年間で年率20%の成長を続け、2032年までには83億ドル（1兆3,000億円相当）を超えると見込まれている。これはサイバーセキュリティ業界の変化を端的に示すものである。IT部門およびセキュリティ部門でのMDRの普及は、以下の重要で相互に関連する要因に起因する。

情報漏えいが最多レベルに達する

米国個人情報窃盗防止研究センター（ITRC）によると、2024年の米国内における企業の情報漏えいは3,100件を超え、14億人に影響を及ぼした。2025年も、この記録を超えるペースで増加し続けている。

金銭的な被害も甚大だ。IBMが発表した情報漏えいのコストに関する調査では、世界全体の平均的な被害額は440万ドル（6億9,000万円相当）と算出されている。米国に限れば、平均が1,022万ドル（15億9,000万円相当）と大幅に高くなっている。

拡大を続けるアタックサーフェス

企業はリモートワークやハイブリッドワークを継続する多数の従業員を抱えている。また、競争力を維持するため、クラウド、AI、IoTなどのテクノロジーに対する投資を続けている。一方、これらの投資やサプライチェーンの拡大によって、攻撃者が標的とする対象を広げる結果にもなっている。

サイバー犯罪のビジネス化

サイバー犯罪の闇市場では、攻撃ツールをサービスとして提供する事例が増加傾向にある。その結果、フィッシング、DDoS、ランサムウェア、情報窃取マルウェアなどの攻撃が極めて容易になっている。英国政府の専門家はAIの登場・進化によって、攻撃の頻度が増し、激化したと指摘している。

攻撃者はすでに、脆弱性の情報収集や調査、攻撃の自動化にAIを悪用している。ソフトウェアのバグが発見されてから攻撃が開始されるまでの時間が62%短縮されたという調査も報告されている。

専門性の高いセキュリティ人材の不足

防御側のチームは長らく人員不足に悩まされている。世界全体でITセキュリティ人材の不足は470万人を超えたと推定されている。25%の企業がサイバーセキュリティ部門で整理解雇を実施した一方で、経営層はSOC（Security Operation Center）に必要な人材やツールへの大規模投資に消極的なのが実情だ。

MDRは時間との戦い

先述したサイバーセキュリティ環境を考慮すると、アウトソーシングは理にかなっている。専門家チームによる24時間365日体制の脅威監視と検知、そして能動的な脅威ハンティングを、より低コスト（特に設備投資コストにおいて）で実現できるからだ。また、スキル不足を補うだけではなく、常時、迅速な対応が可能となるのも利点と言える。特に、ランサムウェアの被害を受けた企業のうち86%が週末や祝日に攻撃を受けた経験を持つことを踏まえると、アウトソーシングは大きな安心感をもたらす。

以下の理由から、MDRでは対応のスピードが価値を持つ。

• 不正侵入した攻撃者の潜伏期間を最小化できる。Mandiant社によると、世界全体の潜伏期間の中央値は、現在11日に及んでいる。ネットワーク内での潜伏が長引くほど、機密情報の発見・窃取やランサムウェア攻撃の実行に使える時間が伸びてしまう。
• 攻撃範囲を迅速に封じ込められる。不正侵入されたシステムやネットワークを隔離し、情報漏えいの被害拡大を防ぐ。
• 重大なセキュリティ侵害に伴うコストを低減できる。ダウンタイム、復旧対応、ブランド価値の毀損、通報、ITコンサルティング費用、さらには規制当局による罰金などが含まれる。
• 迅速かつ効果的な脅威検知と対応への取り組みを示すことで、規制当局の信頼を得ることができる。

MDR導入で確認するべき事項

MDRソリューションによってセキュリティ運用（SecOps）を強化する方針を固めた後は、選定基準について検討する必要がある。市場には数多くのソリューションが提供されているため、自社の要件に合致したものを選択しなければならない。最低限、以下の点を確認すべきである。

• AIによる脅威検知と対応：不審な挙動を自動的に検知する脅威インテリジェンス分析により、攻撃のコンテキストに関わるデータを活用してアラートの精度を高め、必要に応じて自動復旧を実施する。迅速に調査を進め、攻撃者が深刻な被害をもたらす前に対処する。
• 信頼できる専門家チーム：技術面と同様、あるいはそれ以上にMDRソリューションに携わる人材も重要だ。日々の監視や能動的な脅威ハンティング、インシデント対応を担うためには、社内のITセキュリティ部門の延長として機能するSOCの高度な専門性が必要だ。
• 卓越した調査能力：世界的に評価されるマルウェア研究所を擁するベンダーは、ゼロデイ攻撃を含む新たな脅威への対応に最も適している。研究者は日夜、新たな攻撃について調査し、リスク軽減の方法を模索しているからだ。こうした知見はMDRにおいて欠かせない要素である。
• 個別対応の導入：新規導入前の顧客環境を評価することにより、MDRベンダーは各社固有のIT環境とセキュリティ文化について理解を深めることができる。
• 広範な防御範囲：いかなる攻撃者からも保護できるよう、エンドポイント、メール、ネットワーク、クラウドといった各レイヤーに対して、XDRのような保護機能を提供するソリューションが望ましい。
• 能動的な脅威ハンティング：高度なAPT脅威やゼロデイ攻撃を含め、自動解析では検知できなかった脅威を発見できるよう、定期的な調査を実施する。
• 迅速な導入支援：ベンダー選定後、ソリューションの恩恵を受けるまで数週間を要する場合がある。検知や除外に関するルール、各種パラメータがあらかじめ適切に設定されていることが重要。
• ほかのツールとの互換性：検知・対応ツールが、既存のSIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）とシームレスに連携できる必要がある。これらのツールは、MDRベンダーか、サードパーティ向けのAPIとして提供される必要がある。

MDRを適切に選択すれば、サイバーセキュリティ環境を大きく強化することができるだろう。MDRは、企業のITシステムを悪意のあるプログラムや攻撃者による被害から守るため、予防を重視したセキュリティ対策を支援する。これには、サーバー、エンドポイント、デバイスに対する保護、脆弱性管理とパッチ適用、フルディスク暗号化などが含まれる。そして、セキュリティ人材の専門知識とAI技術を適切に組み合わせることで、より安全な未来への歩みを加速させることができるだろう。