MDRとは、多層防御によってエンドポイントを保護する事前対策から、インシデントの検知・対応を含めた事後対策まで、その運用を社外のセキュリティ専門家が支援するマネージドサービスのこと。24時間365日体制で高度なスキルを持った人材を社内SOC（Security Operation Center）に配置するのが難しい企業でも、外部の力を借りて脅威に対処できるようになる。

MDRでは一般的に、インシデントの検知からトリアージ、調査・復旧に至る一連のプロセスに対する運用支援を行う。具体的には、エンドポイント保護の初期チューニング、脅威モニタリング、インシデント発生時の初動対応と解析支援、検知・運用レポートの作成などが含まれる。例えば、駆除が困難なマルウェアやランサムウェアに感染した場合にも、専門家の支援により、その影響を軽減できる。

新たな脅威を特定するノウハウやツールによって、検知率を上昇、並びに、誤検知率を低下させ、セキュリティレベルを向上させるのがメリットだ。MDRを担うベンダーによっては、優先度を上げて対応したり、追加でツールの導入・更新を支援したりと、付加的なサービスが提供される場合もある。MDRは、その監視対象によって以下の3つに分類される。

MEDR（Managed Endpoint Detection and Response）

社内ネットワーク内の端末から収集された情報を分析し、侵入した脅威を検知・対応するEDR（Endpoint Detection and Response）、あるいはEPP（Endpoint Protection Platform：エンドポイント保護プラットフォーム）の運用を委任するサービスである。

MNDR（Managed Network Detection and Response）

社内のトラフィックを常時監視し、マルウェアへ対応するNDR（Network Detection and Response）の運用を行うサービスである。

MXDR（Managed Extended Detection and Response）

EDRとNDRを統合し、エンドポイントからネットワークにわたって監視を行うXDR（Extended Detection and Response）の運用をアウトソーシングするサービスである。

ベンダーによっては、検知から対応に至る一連のプロセスすべてを委託する「フルマネージド型」MDRと、部分的にサービス提供する「セミマネージド型」MDRが提供されている。そのため、自社の運用体制に基づいて最適なサービスを選択する必要がある。自社とベンダーとの役割分担を明確にした上で、経営層や社外のステークホルダーへの報告といった、委託するのが難しい社内手続きについては、事前にそのプロセスを確認しておくことが推奨される。

高まるサイバー攻撃の巧妙化を受け、未知のマルウェアなどへの対策・対処が困難となる中、疑わしい挙動を素早く検知し、対処する取り組みがより一層重要になっている。監視やインシデント対応のスキルを持った人材を確保するのが難しい企業に対し、MDRは有効なソリューションとして期待されている。