MDRが重要なセキュリティ投資である理由

サイバーセキュリティの脅威は絶えず進化しており、マルウェアやランサムウェアなどの脅威が起きる頻度とその影響も年々増え続けています。今日、あらゆる規模、あらゆる業界における組織にとって必要なのは、積極的に新たな脅威を探し、リスクを監視して自らを保護し、脅威が特定された場合は迅速に対処することです。このような難しい状況の中、組織は、チームに不足なく配置できるだけのサイバーセキュリティの専門家を見つけるのに苦労しています。世界で400万人近くものサイバーセキュリティ従事者が不足している状態です。大幅に専門スキルが不足している状態で、企業はどのように先を見越して脅威を検出し、脅威に対処することができるのでしょうか。

サイバーセキュリティは、もはやエンドポイントをロックダウンすることや、組織の周囲にファイアウォールを配置することだけに制限されてはいません。今日の企業では、脅威を積極的に監視して、脅威のハンティングと対処の準備を整えておく必要があります。拡張検出と応答（XDR）、セキュリティ情報とイベント管理（SIEM）などのテクノロジーによって、さまざまなソースからのデータは相互に関連付けられており、脅威の検出・調査が促進されています。しかしそれだけでは、高度な脅威が渦巻く環境で安全維持のためのプロアクティブなセキュリティ要素を一部見逃していることになります。適切な専門知識がなければ、こういったテクノロジーがあっても宝の持ち腐れです。同様に、ログとアラートの監視に重点を置いているような従来のマネージドセキュリティサービスプロバイダー（MSSP）は、全体像の大部分を見失っており、顧客にとって誤検知や無駄な作業を発生させる可能性があります。

組織は、マネージドディテクション＆レスポンス（MDR）サービスに目を向けつつあります。MDRは、サイバーセキュリティの中で最も急速に成長している分野の1つです。アナリスト企業のガートナー社は、組織の50％が2025年までにMDRサービスを使用するだろうと予測しています。しかし、MDRサービスに何を組み込むべきか、誰がMDRサービスを提供できるかをめぐって、業界ではよく混乱が生じています。MDRを専門とする一部のプロバイダーは、隣接機能やテレメトリのサポートは非常に限られています。MSSPはMDRを提供すると喧伝するわりに、実際は自動アラートを事後調査しているにすぎません。サイバーセキュリティテクノロジーとサービスに投資する前に、組織はMDRサービスが提供できる真の価値、MDRと他のマネージドセキュリティサービスの違い、そして適切なパートナーの選び方を理解しておく必要があります。

セキュリティへの支出を最大限に活用する

組織にセキュリティに費やす予算がある場合でも、社内で24時間年中無休で脅威を検出し、機能を確立させるのに必要な労力、時間、そして専門知識は非常に大きなものになります。多数のエンドポイント、サーバー、クラウド、ネットワークにXDRやSIEMプラットフォームなどの複雑なテクノロジーを導入して適切に構成するには数ヶ月かかる場合がほとんどです。これらのテクノロジーが実装された後でも、社内のセキュリティアナリストがシステムに関する専門知識を習得し、システムを適切に構成し保守する方法を学ぶには、さらに時間がかかります。

それとは対照的に、経験豊富なMDRプロバイダーであれば、サイバーセキュリティソリューションの価値を実現するまでの時間を大幅に短縮し、組織が期待するROIを迅速に達成できるでしょう。また、優れたMDRプロバイダーは次の２つを活用することで、組織内で忠実度の高いサービスを実行できます。ひとつ目はエンドポイント・ディテクション＆レスポンス（EDR）エージェント、ふたつ目はEDRの進化系であるXDRです。これはクラウド インフラストラクチャ ソリューションに統合されたもので、OOTBの（=out of the box=入手後すぐに使える）パッケージも含まれています。これらによって新たな脅威から組織を素早く保護するのです。

もうひとつ、MDRサービスには注目すべき長所があります。それは組織がサイバーセキュリティツールを導入している場合、ツールの投資収益率（ROI）を向上させるのに役立つことです。組織は最先端のサイバーセキュリティテクノロジーを購入すれば十分と考えてしまいがちです。同時に、それを構成し適切かつ最大限に活用するための専門知識とリソースが不足しています。優れたMDRプロバイダーなら、テクノロジーに関する豊富な経験に加えて、他のクライアントサイトから24時間体制の監視のもとで脅威インテリジェンスをもたらし、サイバーセキュリティ機能、カバレッジ、専門知識を迅速に向上させることができます。

MDRプロバイダーに何を期待するか

組織を標的とした高度な脅威を適切に検出して対処するには、ハイレベルな専門家、プロセス、テクノロジーを高度に組み合わせることが必要です。MDRプロバイダーに何を期待すべきかを理解することで、組織がサイバーセキュリティプログラムから求める価値を得ることが出来ます。

• テクノロジー：初期のMDRサービスではエンドポイントが重視され、組織によるEDRソリューションの運用を支援していました。今日、脅威ハンティングを含む脅威検出は、組織のエンドポイントに留まっているべきではありません。企業がITインフラをクラウドに移行したり、リモートワーカーが増えたりした影響で、潜在的なリスクの数、脆弱な組織への悪影響やエントリポイントは指数関数的に増加しました。EDRを強力に推し進める展開は良い出発点だと言えますが、しかし組織はSDRやSIEMの経験豊富なMDRプロバイダーを探すべきです。そうすればネットワーク、電子メール、クラウドインフラなどを含むITインフラ全体に、脅威のテレメトリーやフォレンジックデータをもたらすことができます。
• 検出：脅威ハンティングがMDRサービスのより重要な側面の1つであることに間違いはありません。しかし、MDRプロバイダーが採用する方法論はそれぞれ大きく異なっているかもしれません。MDRサービスには、少なくとも定期的な脅威ハンティングが組み込まれているのが普通ですが、他のプロバイダーよりも高度な脅威ハンティングを行うプロバイダーもあります。MDRプロバイダーがどのように脅威を検出するかを確認することが大切です。それは人間主導かつ仮説主導の脅威ハンティングですか？それとも単にIOCの自動検索ですか？従来のMSSPは、ログからのデータに基づいて脅威ハンティング機能を提供するとアピールしていますが、これは履歴データおよび限られたデータについてだけの話です。脅威ハンティングでは、システムの現状および履歴のデータを積極的に調査する必要があります。質の高いMDRパートナーなら、人間主導で脅威ハンティングを行い、24時間年中無休の監視、およびリアルタイムでの分析と調査を組み合わせる必要があります。
• 応答：応答は、サービスのレベルが大きく異なるであろう、もう1つの領域です。あるMDRプロバイダーにとって、応答とは続行中の動作を単に推奨するという意味だけです。MDRサービスからより多くのメリットを得るには、脅威を封じ込め、それ以上広がらないように対処できるプロバイダーを探してください。MDRプロバイダーは、通知やアラートを停止せずに、遠隔で組織のエンドポイント、ネットワーク内、またはその他のアプリケーションでアクションを実行して、システムを分離し、脅威を阻止することが必要です。
• 調査機能：脅威インテリジェンスは、効果的な脅威検出とハンティングの基盤となるものです。優れた研究部門を持つMDRプロバイダーを探しましょう。そうすれば他のサイバー脅威インテリジェンスを組み込んで、世界中の新たな脅威に関する最新情報を活用できます。彼らがどのように調査を実施し、脅威インテリジェンスをキュレートしているかを理解しましょう。強力な調査チームは、攻撃者および攻撃手法の調査、マルウェアのリバースエンジニアリング、侵害調査の実施などを行って、組織が脅威の一歩先を行くのをサポートします。
• フィールドテストの経験：脅威に対処するために、MDRパートナーがあなたの環境に変更を加える場合は、MDRパートナーにインシデント対応のフィールドテストの経験があるかどうかを確認しておきましょう。拙速なインシデント対応をすると、システムやビジネスプロセスを不必要にシャットダウンするなどの悪影響が生じるかもしれません。さらにMDRプロバイダーに確認する項目としては、実行するアクションに正しい決定を下せるようなフィールドテストの経験があるかどうか、そしてインシデント対応のプロセスについて成熟したメソッドがあるかどうかです。
• 文化：組織が見落としがちですが重要な側面は文化です。プロバイダーの運用モデル、あなたの組織との連携方法、および対話中の相手の態度についてよく検討してください。彼らはあなたが一緒に働きたいタイプの人々ですか？彼らは信頼できますか？彼らは業界で良い評判を得ていますか？一貫性のある長期的なパートナーシップを提供してもらえるのに十分な規模がある組織ですか？これらはすべて、プロバイダーの企業文化があなたの企業文化に適しているかどうかを判断する際に考えるべき質問です。

質の高いMDRプロバイダーは、エンドポイントを積極的に調査し、脅威の調査とハンティングを実施します。さらに、フォレンジック調査を実行し、インシデントに即座に対応して影響を軽減するなど、それ以上のことも行います。彼らはこれまで、他のクライアント環境で起こった脅威や脆弱性について、重要な洞察を行い、状況に対処する知見を深めてきました。こういった経験はあなたの環境でより一層の効果を発揮するでしょう。最終的には、複雑なサイバーセキュリティテクノロジーとツールに関する専門知識をもって、これまで行ってきた投資の最適化、価値を実現するまでの時間短縮、そしてROIの向上を実現できるまでになるでしょう。

以上すべてにおいて言えるのは、適切なMDRプロバイダーを選択することが、おそらく最も重要なセキュリティ投資であるということなのです。

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave（トラストウェーブ）社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

_※ 当記事は、Trustwave（トラストウェーブ）社のブログからの転載です。