
EDRやMDR、NDR、SOC、XDRなどはよく似た概念として比較されますが、何を基準に選定・導入すればいいのかイマイチよくわかりませんよね。
本記事では、MDR、EDRやそのほかソリューションの特徴や違いを解説するとともに、導入のアドバイスをご紹介します。参考にしていただけると幸いです。
MDRとは
MDR(Managed Detection and Response)とは、24時間365日組織のセキュリティを監視する運用サービスです。
脅威の特定・監視、脅威への対処、被害の低減などにあたります。
MDRの主な機能と特徴
MDRの主な機能・役割としては下記が挙げられます。
- エンドポイントやネットワークの24時間365日の監視
- インシデントの兆候の迅速な検知・通知
- インシデント内容の調査・分析・トリアージ
- インシデントへの適切な対処(隔離・封じ込め)
MDRはベンダーやプロバイダから、EDRやNDRといったマネージドセキュリティサービスの形で提供されるのが一般的です。
MDRの導入メリット
MDRを導入することによるメリットとしては、多くの企業が頭を悩ませるセキュリティ人材不足の解消が挙げられます。MDRでは、情報セキュリティの監視をいわばアウトソーシングする形になるため、社内の情報システム担当者をセキュリティ業務の負担から解放することができます。
また、サイバー攻撃における侵入から展開までの時間(ブレイクアウトタイム)で迅速に脅威対応にあたることができるため、効果的なセキュリティ対策と言えます。
EDRとは
EDR(Endpoint Detection and Response)とは、ユーザの利用するPCやサーバといったエンドポイントを監視、不審な挙動を検知・通知し、迅速な対応を支援するセキュリティソリューションです。
EDRの主な機能と特徴
EDRの主な機能・役割としては下記が挙げられます。
- エンドポイントの常時監視
- インシデントの分析とレポーティング
- ネットワーク切断などインシデント対応
- 更新情報の監視等による脆弱性のカバー
EDRの導入メリット
EDR導入のメリットとしては、マルウェア感染における迅速な状況把握と感染拡大防止が可能になることが挙げられます。
EDRでは不審な挙動を検知・分析する振舞い検知でのマルウェア検知が行われるため、パターンマッチでは検出できない道のマルウェアも発見することができます。
そして、発見した脅威を管理者へ通知することで、迅速な対応を支援します。
また、製品によっては感染拡大のための具体的な対策も実行してくれるため、エンドポイントをまたいだ感染拡大の防止も可能になります。
MDR、EDRとXDR、SOC、NDRの違い
MDRとEDRの違い
MDRとEDRはいずれもサイバー攻撃やマルウェアから組織を保護するための監視・検知・対応を実施するものですが、概念としての違いがあります。
MDRは、組織のIT環境全体を監視・管理してくれるサービスであるのに対し、EDRは特定のエンドポイントを保護するツールです。
そのため、MDRプロバイダーがそのパッケージの一環としてEDRを提供していることも往々にしてあります。
MDR、EDRに似た概念
MDRやEDRと似た概念として、下記が挙げられます。
NDRとは
NDR(Network Detection and Response)とは、ネットワーク全体の監視、検知・対処をするソリューションです。EDRのネットワーク版と思っていただいて差し支えないかと思います。
NDRは対象ネットワーク上のあらゆるログ情報を収集・分析し、脅威の検知をすると共に、マルウェアやサイバー攻撃を検知した際にはリアルタイムに対応することが可能になります。
XDRとは
XDR(Extended Detection and Response)とは、その名の通り、EDRの拡張版です。エンドポイント以外でもEDRの機能を利用できるようにしたもので、ネットワークやクラウドなど複数の場所に分散するログを一元的に監視します。
そのため、複数の領域にわたってインシデントの検知・調査・対応が可能になり、組織全体のセキュリティレベル向上が期待できます。
SOCとは
SOC(Security Operation Center)とは、24時間365日ネットワークやデバイスを監視し、サイバー攻撃やマルウェアを検知・分析、対応のアドバイスにあたる組織です。
高度化・複雑化を続けるセキュリティ脅威に対し、高い専門性を有した分析者による検知を可能にするもので、自組織内に設置する内部SOCと専門企業に委託する外部SOCがあります。
MDRはサービスで、SOCは組織を指します。EDR、NDR、XDRはツールを指し、それぞれEDRはエンドポイントで、NDRはネットワークで、XDRはあらゆる場所で、脅威の監視・検知・分析・対応にあたります。
なぜEDRやMDRが求められるのか
かつて情報セキュリティ対策は、組織の内部と外部を区別し、ファイアウォールなどによって外部から組織内部への侵入を防止するという境界型セキュリティの考え方がとられていました。
しかし、昨今のサイバー攻撃やマルウェアは複雑化、高度化の一途をたどっており、例えば、マルウェア検知ソフトによる検知を潜り抜ける未知のマルウェアも日々誕生しています。
そんな状況の中で、サイバー攻撃やマルウェアの侵入を前提とした、侵入されても被害に繋がらない/被害を最小限に食い止めるというセキュリティの考え方が主流になりつつあります。
そこで、サイバー攻撃やマルウェアの侵入をなるべく迅速に検知し、なるべく迅速に対応するための方法として、MDRやEDRが必要となっているのです。
EDR・MDRの選定と導入
エンドポイントにおける脅威の監視・検知・分析・対応にあたるEDRとそれらを外部のセキュリティプロバイダーが監視するMDR、という関係性であることはここまででご説明しましたが、では、そんなEDR・MDRの選定・導入についてご紹介します。
EDR・MDRの種類
EDR製品には、端末にプログラムをインストールする必要のあるエージェント型製品と、インストールする必要のないエージェントレス型製品があります。
また、MDRにおいても種類があり、フルマネージドMDRとセミマネージドMDRに分けられます。
フルマネージドMDRは、インシデント対応における「検知→トリアージ→調査→対応→事後対応」の一連の流れをセキュリティベンダーが一貫して対応してくれるサービスで、セキュリティ担当者は報告や詳細調査・復旧など対応を絞って注力することができます。
セミマネージドMDRは、フルマネージドMDRで提供されるサービスの部分を切り取って提供されるMDRです。検知・一次対応までを請け負うもの、検知のみを請け負うものなどがあります。
導入
環境の整備
EDR・MDRを導入する前に自組織の環境を整備しましょう。EDRはOSによって対応している・していないがありますので、しっかり確認しておきます。
また、エンドポイント内に導入済みの他サービスとの兼ね合いも考慮します。検疫処理が重複することで、不具合が生じる場合もあるためです。
チューニングと動作モード
EDRも完璧ではないため、たとえば業務アプリケーションの正常な動作も不審なものとして検知してしまう可能性があります。
そのため、EDRのチューニングをする導入期間を設けることが望ましいです。
例えば、はじめのうちは、不審な動作を検知はするがブロックはしない検知モードでの動作をさせ、一定期間の後にブロックもするブロックモードに以降する、といった対応が想定されます。
カスタマイズ・サービス連携
検知するマルウェアや不審なプログラムとして望ましい基準や取りたい対応は組織によって様々です。
また、運用サービスの管理連携のためのプロセスも必要に応じて発生します。
導入の際の注意点
また、導入に際して下記のことに注意しましょう。
コストとリソースの評価
当然ですが、EDR・MDR導入には一定のコストが発生します。情報セキュリティ対策は基本的に堅牢であることが望ましいですが、そうは言ってもなるべく費用が掛からないに越したことはありません。
自組織にとってどんな必要性があり、それに対してEDR・MDRがどんな解決策を提供するのか、しかり勘案したうえで導入しましょう。
管理の負担
EDR・MDRは脅威検知のプロセスを自動化するソリューションですが、とは言え、質の悪い製品を利用していると、脅威アラートが過剰に発報されてしまったり、逆に、高度な攻撃は検知してくれなかったり、ということがあり得ます。
その場合、かえって管理・運用にリソースを割かなければならなくなりますので、そうならないよう適切な製品を選定しましょう。
まとめ
EDRとMDRの特徴や違い、関連する概念について解説しました。 用途に応じたソリューションを選定し、自社に最適なセキュリティ環境を構築しましょう。