MDRとは? EDR・SOCとの違いや使い分けについて解説
2024年3月25日掲載
エンドポイントを中心にシステム監視し、脅威の検知やインシデントの調査・分析・対処を実施できるMDRへの注目が集まっています。
MDRを導入することで、高度化・複雑化したサイバー攻撃を速やかに検知し、対応することできるだけでなく、専門的なノウハウや情報を持つスタッフによって、自社だけでは不可能な24時間の監視が可能です。それによって、多くの企業で不足しているセキュリティ部門の人材を補えます。ここでは、MDRの概要や機能、重要視される理由、さらによく比べられるEDR、NDR、SOC、XDRとの違いを説明します。
本記事を監修いただいた方のご紹介
那須 慎二 氏
株式会社CISO
代表取締役
中堅中小企業向けにセキュリティの支援を行う株式会社CISO 代表取締役。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、独自のセキュリティサービス(特許取得)を提供。業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
MDRとは
MDR(Managed Detection and Response)とは、エンドポイントやネットワークの監視、検知、インシデントレスポンスを行うマネージドサービスです。サイバー攻撃をできるだけ早く検知し対処を行うことは、被害を最小限に抑えられるために重要なポイントであり、その運用のサポートを行うのがMDRです。
社内にSOC(Security Operation Center)を用意するリソースがない企業にとって、セキュリティを強化するために便利なサービスと言えます。
MDRの機能
一般的にMDRには、次のような機能があります。
- 24時間システムを監視する
- 脅威を速やかに検知してアラートを出す
- 脅威を検知したエンドポイントを隔離して被害の拡大を防止し、インシデントへの初動対応を行う
- ログをもとに脅威の調査・分析、被害確認を行う
- 脅威の対処や封じ込めを行い、復旧する
- ほかのセキュリティツールの管理を行う
MDRの種類
MDRは3つの種類に分けることができます。
- MEDR(Managed Endpoint Detection and Response)
エンドポイントを監視代行し、エンドポイントセキュリティを強化するサービスです。一般的にMDRと呼ばれるものです。 - MNDR(Managed Network Detection and Response)
ネットワークを監視代行するサービスです。NDRと呼ばれることもあります。 - MXDR(Managed Extended Detection and Response)
エンドポイントとネットワーク、およびその他の領域まで、システム全体を監視代行するサービスです。XDRと呼ばれることもあります。
MDRの導入はなぜ重要なのか
MDRへのニーズが高まっているのは、社内だけでは十分なセキュリティ対策を行えないためです。そこには次のような原因があります。
専門的な知見の必要性
近年、サイバー攻撃の数が大幅に増加しているだけでなく、高度化・複雑化しています。そのため、よりセキュリティに対する深い知見を持つ専門性が必要です。
経済産業省が作成した資料によれば、サイバー攻撃の発覚経緯の約半数は外部からの指摘となっています。これは、サイバー攻撃による被害を受けていることに気づかない企業が多数存在することを示しています。
セキュリティ人材の不足
セキュリティやシステムに関する知見を持つ人材が強く求められていますが、そのような人材は大きく不足しているのが現状です。
2022年度は2021年度よりも状況は少し改善していますが、まだまだ人材不足を解消するほどではありません。そのため、MDRのような外部サービスの活用が必要になっているのです。
MDRとEDR、NDR、XDR、SOCとの違い
MDRと同じようにセキュリティ対策に使われるツールには、EDR、NDR、XDR、SOCなどがあります。
多くの場合、MDRは単独ではなくこれらのツールと組み合わせ、各ツールを管理するために利用されます。
EDRとは
EDR(Endpoint Detection and Response)はエンドポイントを常時監視し、エンドポイントに侵入したマルウェアや不正アクセスの検知・対処を行うツールです。従来のアンチウイルスソフトが検知できない、次のような攻撃を検知して警告を出します。
- ファイルレス攻撃のような、最新の攻撃
- 攻撃の兆候、可能性
- 例)
・コマンドやPowershellなどOSに標準搭載されているツールを用いた攻撃の発見
・ウィルスではないが、攻撃者がよく利用する遠隔操作ソフトウェアなどの発見
それによって、該当するエンドポイントを迅速にネットワークから隔離し、社内ネットワークなどへの被害拡大を防ぐことが可能です。
EDRは、EPP(Endpoint Protection Platform、エンドポイント保護プラットフォーム)と組み合わせてエンドポイントの保護に多く使われています。EPPはエンドポイントへのウイルス侵入を検知し防御します。
▶関連記事:未知のサイバー攻撃からエンドポイントを守る「NGAV」「EDR」とは
NDRとは
NDR(Network Detection and Response)は、ネットワーク上のトラフィックを監視して、外部からの攻撃や内部における不正な操作を検出するツールです。MNDRと呼ばれることもあります。
トラフィックを監視することで、リアルタイムに攻撃や不正を検知して包括的に可視化でき、速やかに対処することが可能です。
XDRとは
XDR(Extended Detection and Response)とは、エンドポイントとネットワーク、およびその他の領域を監視するツールです。MXDRと呼ばれることもあります。
エンドポイントとネットワークを包括的に監視して脅威を検知し、対処することが可能です。それによって、脅威の検知や対処を一元管理できます。
包括的に監視することで、攻撃や不正の全体像を把握することも可能です。
SOCとは
SOC(Security Operation Center)は、企業内で組織したセキュリティ担当チームです。エンドポイントやネットワーク、およびその他の領域を監視し、検知したサイバー攻撃を分析し、対策を行います。
近年はサイバー攻撃が高度化・複雑化し、セキュリティ対策には高い専門的な知識やノウハウが必要です。そのため、SOCにも社外の専門家を活用することが増えています。
それぞれの活用法
EDRはエンドポイントを、NDRはネットワークを監視し、脅威を検知します。ネットワーク全体のセキュリティ対策を行うにはこの2つを組み合わせるか、エンドポイントとネットワークを包括的に監視できるXDRの導入が必要です。
これらのツールを利用してサイバー攻撃を監視する社内組織がSOCです。しかし、社内だけではSOCを組織するリソースが不足している場合もあります。
そこでエンドポイントの監視、検知だけでなく、導入している複数のセキュリティツールを管理して総合的なセキュリティ対策を効率的に行えるMDRの活用が求められているのです。
MDRにほかのツールを組み合わせることで多角的なセキュリティ対策を行おう
セキュリティは、ひとつの対策を行えば安心というわけではありません。エンドポイント管理、ネットワーク監視、脆弱性管理など、さまざまな角度から対策を行う必要があります。そこで、システム全体を24時間監視できるMDRを利用してセキュリティ部門や情報システム部門の人手不足を補いつつ、セキュリティを強化することをお勧めします。
また、こうしたセキュリティ対策の中でも重要なのが、サイバー攻撃の入り口となるエンドポイント対策です。ここには、EDRやEPPなどのツールを導入し、防御・検知・対処を速やかに行えるようにしておかなくてはなりません。
関連資料
関連セミナー・イベント
