MDRとは　２

前回はMDRとは何か、具体的に解説しました。その中で、ネットワンシステムズが12月よりMDRサービスを開始したと書きましたが、今回はこのサービスについて詳細を交えて説明し、さらにエンドポイントセキュリティについて理解を深めていきたいと思います。

ネットワンのMDRサービスは、マルウェアに感染した端末を検知・特定・管理するサービスと、情報漏洩を防止するためのアクセス制御を行うサービスで構成されます。これを、ネットワン市場開発本部長の松本陽一氏は「多層的なセキュリティ対策を支援する」ものとしており、「セキュリティの場合、ソリューションを導入した後の運用も重要となるが、一企業のCSIRTだけで全てカバーするのは難しい。我々はそこをサポートしていきたい」と述べています。

参考資料:ネットワン、端末レベルで情報流出を防ぐ監視・運用サービスを提供

参考資料:ネットワン、マルウエア感染端末を検知・隔離するサービスを投入

このように、端末レベルに着目し、セキュリティの強化・サポートを行うMDRですが、そういった中で同じく取り上げられることが多いのが、引用にもありますが、次世代エンドポイントセキュリティと呼ばれるEDR（Endpoint Detection and Response）です。前回も触れましたが、米Gatnerがピックアップした11種類の技術の中に、EDRも入っています。「Endpoint Detection and Response（EDR）は、悪意ある攻撃を示す異常な挙動や活動の兆候をエンドポイントで監視し、アンチウィルスのような予防型の対策のみならず、インシデントの検知や対応までもカバーする。2020年までに大企業の80％、中堅企業の25％、中小企業の10％がこの機能に投資すると予想される」とGatnerは解説しています。

参考資料:サイバー防御力を高めるセキュリティテクノロジ11選

サイバー攻撃等によりセキュリティ侵害を受けた場合、どれほどの期間があれば対処できるのでしょうか。今日ではサイバー攻撃を完全に防ぐことは困難になってきており、攻撃に気付いてからいかに迅速に対応できるかが問われるようになりました。しかし、2016年のセキュリティ脅威を分析した「Mandiant M-Trends 2017」によると、調査対象の組織がセキュリティ侵害を検知するまでに要した時間の中央値は99日となっており、アジア太平洋地域に限定すると172日ということです。平均的な企業は3ヶ月から半年に渡り気付くことがないということです。これほどの期間もの間感染した端末を放置していれば、かなりの数にまで拡大する恐れがあり、攻撃者の思う壺となってしまいます。

次世代エンドポイントセキュリティであるEDRは、従来のエンドポイントセキュリティとはそもそもの考え方が異なるようです。EDRは「攻撃はされるものだ、侵害はされるものだ」という性悪説に基づいてセキュリティを行います。具体的にいうと、従来のアンチウイルス型のエンドポイントセキュリティは攻撃からの防御に重点を置いていました。シグネチャーやふるまい検知によってウイルスやマルウェアの特徴を照合し、それを検出・駆除することによって防御を行います。これに対し、EDRは攻撃を受けた後の検知・調査・原因分析を重視します。いち早く検知し可視化することで、侵害後の対応を迅速化し、被害を最小化することが狙いです。EDRに求められる機能は、大きく分けて次の3種類あるといいます。

参考資料:これからの対策は侵害を前提にすること侵害後の対応を迅速化する「EDR」とは？
EDRを活用することで、サイバー攻撃を受けた後の対応時間を大幅に短縮可能です。もちろん、侵害を受けないようにするセキュリティも強化しなければなりませんが、EDRのような強力な機能も必要になるのではないでしょうか。自社でそこまでのセキュリテイ強化が難しければ、MDRに頼るのも一つの手ではないでしょうか。