組織が脅威検知ソリューションの導入を検討している場合、EDRとMDRのどちらが良いか迷っている可能性が高いでしょう。サイバーセキュリティ市場は絶えず進化しているため、組織が各種セキュリティ製品の違いや機能を理解するのは容易ではありません。特に、脅威検知・調査・対応(TDIR)分野では、技術の継続的な進化だけでなく、ベンダー間でサイバー犯罪対策として最も効果的なTDIRアプローチを位置づけようと、熾烈な競争が繰り広げられています。
近年、トップに躍り出たソリューションには、エンドポイント検出および対応 (EDR) とマネージド検出および対応 (MDR) という、補完的かつ対照的な機能を提供する 2 つのタイプがあります。
EDR とは?
エンドポイント検出および応答 (EDR) は、組織の IT 環境内のエンドポイントを監視し、内部または外部のソースからの悪意のある異常なアクティビティを検出して対応するホストベースのセキュリティ ソリューションです。
エンドポイントの定義は多岐にわたりますが、一般的には、ネットワーク接続のエンドポイントに存在し、そのネットワークを介して通信できるあらゆる物理デバイスを指します。これには、デスクトップ、ノートパソコン、モバイルデバイスなどのエンドユーザーコンピューティングデバイスに加え、サーバー、一部のIoTデバイスなども含まれます。
EDRは、セキュリティインシデントの兆候となる可能性のあるアクティビティを検知し、潜在的なインシデントを調査し、必要に応じて修復することで、エンドポイントを積極的に保護するように設計されています。統合監視テクノロジーを活用することで、EDRソリューションは、マルウェアやランサムウェアなどの明らかな悪意のあるアクティビティだけでなく、不正アクセス、権限昇格の試み、エンドポイントでのシェルコードの使用など、攻撃の初期兆候となる異常なアクティビティも検知できます。
EDRは、組織内のホストに導入されるエージェントソフトウェアを通じて動作します。このソフトウェアは、特定のシステムで発生するアクティビティを監視・記録し、エンドポイントから集中分析システムに送信される様々な種類のテレメトリデータを使用します。EDRには様々なアプローチがあり、エンドポイント上でローカルに検知するソリューション、オンプレミスの制御サーバーにテレメトリデータを転送するソリューション、クラウドリソースにデータを転送して分析するソリューションなどがあります。近年、多くのEDRソリューションがハイブリッドアプローチを採用しています。
EDRは従来のエンドポイント保護プラットフォーム(EPP)とよく比較されますが、EPPとは異なります。EDRは、シグネチャを用いた検出方法など、EPPの多くの側面を取り入れていますが、エンドポイント防御を次のレベルへと引き上げ、より高度な検出メカニズムを組み込むとともに、特定のソリューションに応じて調査および修復機能も提供します。
EDRプラットフォームの利点
EDRは、拡張エンタープライズ全体のエンドポイントにおける脅威への可視性、洞察、そして対応力を提供します。これら3つのコンポーネントは、組織がエンドポイントの脅威にほぼリアルタイムで対応できるようにするだけでなく、セキュリティチームが企業環境をより深く理解し、結果として得られる可視性を活用してプロアクティブなエンドポイント防御を適用できるようにします。実際、多くの組織はエンドポイントセキュリティを全体的なセキュリティ戦略の基盤と考えています。Arctic Wolf®の「State of Cybersecurity: 2024 Trends Report」によると、調査回答者の66%がEPP、EDR、またはEDRと密接に関連する拡張検出および対応(XDR)ソリューションなど、1つ以上のエンドポイントセキュリティソリューションを使用しています。
EDR の主な利点は次のとおりです。
- 動的検知(振る舞い検知)ベースの検出:既知の脅威のみを監視するツールとは異なり、多くの EDR ソリューションは動作検出エンジンを使用して、エンドポイントで何らかの異常なアクティビティを識別することで、未知の脅威を示唆する可能性のある疑わしいアクティビティを検出します。
- ラテラルムーブメント/脅威エスカレーションの防止: EDRは、攻撃者がエンドポイントを悪用してIT環境に足掛かりを築くために用いる特定の手法を特定することで、セキュリティチームが多段階攻撃を早期に検知するのに役立ちます。これにより、脅威アクターがネットワークの他の部分に侵入して攻撃をエスカレートする前に、攻撃を阻止することができます。
- コンテキスト化: EDRは、脅威インテリジェンスやその他のサードパーティデータを活用して検出結果を拡充し、検出結果の背景にある詳細なコンテキスト情報を提供します。これにより、検出結果の詳細度と信頼性が向上し、企業はインシデント発生後の対応をカスタマイズし、将来のプロアクティブなセキュリティ対策を適用できるようになります。
- 修復速度: EDR は侵害調査を加速し、インシデントの時間とコストを削減するとともに、組織への潜在的な損害を制限することができます。
EDRの課題
エンドポイントの保護は最優先事項ですが、サイバーセキュリティ環境においては、脅威アクターが高度な技術を用いてエンドポイントを侵害するだけでなく、Webベースのアプリケーション、アイデンティティソース、クラウドベースのリソースが増加する現代の拡張エンタープライズ環境の広がりによって、TDIRに対するより協調的なアプローチがますます求められる状況において、EDRだけでは不十分な場合があります。エンドポイントは、脅威アクターがサイバー攻撃を仕掛ける多くの標的の一つに過ぎなくなってしまうのです。
EDR の課題は次のとおりです。
- 過剰なアラート ノイズ: EDR ツールは、ネットワークやクラウド ソースなどの攻撃対象領域の他の側面とデータを相関させないため、アラートに重要なコンテキストが欠けている可能性があり、その結果、発生源の追跡に時間がかかり、誤検知が増加します。
- 監視の限界:前述の通り、エンドポイントは組織のセキュリティアーキテクチャの重要な部分ですが、現代の攻撃ベクトルはエンドポイントだけではありません。多くの高度な攻撃は、クラウドリソースやWebベースのアプリケーションなど、環境内の他の場所から発生する可能性があります。EDRに依存すると、エンドポイントに感染した時点で初めて検知されるため、これらの攻撃がエスカレートする可能性があります。
- 可視性の限界:現代のセキュリティアーキテクチャにおけるベストプラクティスは、複数のソースからテレメトリを取得し、相関分析を行うことで、リアルタイムで情報に基づいた意思決定を行うことです。EDRソリューションは、エンドポイントのアクティビティに関する価値の高い詳細なデータを継続的に提供しますが、エンドポイントの全体像は1つの視点でしか把握できません。そのため、エンドポイントセキュリティをEDRのみに依存している組織は、エンドポイントの可視性を意図せず制限してしまう可能性があります。実際には、EDRはセキュリティチーム(またはセキュリティソリューション)が監視する多くのテレメトリソースの1つであるべきです。複数のテレメトリソースを相関分析することで、より正確で実用的な検出が可能になります。
- EDRは、第一にツールである:他のセキュリティツールと同様に、EDRは、セキュリティチームを長年悩ませてきた課題、すなわち人材不足、専門知識不足、ツールの微調整能力の欠如、そして24時間365日体制での脅威対応能力の欠如といった課題を解決するものではありません。EDRソリューションのセットアップ、構成、そして継続的な調整には、時間、予算、そして組織が容易に利用できるとは限らない専門知識が必要です。
これらの課題に対処するために、TDIR に対する別のアプローチである、管理された検出と対応 (MDR) が市場で登場しました。
MDRとは?
MDR は、人間の労力と専門知識を統合プラットフォームと組み合わせ、包括的な TDIR 機能を提供する検出および対応ソリューションですが、包括的な監視や脅威の検出と対応などの主要機能に適切なレベルのリソースと専門知識を確保するマネージド サービスの形式で提供されます。
MDRは、EDRのようなセルフマネージド型TDIRソリューションよりも柔軟性に優れています。柔軟性の鍵となる要素の一つは、人員配置です。MDRプロバイダーは、顧客のニーズに合わせた人員配置オプションを提供しており、多くの場合、営業時間内、平日のみ、さらには24時間365日体制の脅威監視と対応まで、幅広いオプションが用意されています。これにより、組織は社内セキュリティ担当者の増員や専門知識の強化を必要とせずに、営業時間外でも脅威をより効果的に監視、検知、対応できます。
MDRサービスは、様々なタイプのソリューションソーシングを通じて提供できます。一部のMDRソリューションでは、MDRプロバイダーが所有・運用する専用製品を提供しています。これにより、プロバイダーは管理可能なコストでサービスを提供できますが、顧客は使用するツールを選択できません。
一方、一部のMDRプロバイダーでは、顧客が限られたツールから選択できるようにしたり、顧客が所有し既に環境に導入しているツールを利用できるようにしたりしています。これらのオプションにより、顧客は提供されるサービスの種類に関してより幅広い選択肢と柔軟性を得ることができますが、プロバイダーによってはコストと複雑さが増す可能性があります。しかし、明確に申し上げると、MDRソリューションの主な差別化要因は、サービスを提供するセキュリティエンジニアやアナリストの専門知識といった人的要素です。
MDRとEDRを比較する際、重要な違いは可視性と監視機能にあります。これは市場のすべてのベンダーに当てはまるわけではありませんが、EDRソリューションはエンドポイントテレメトリに限定されているか、エンドポイントテレメトリを優先しているケースが多くあります。つまり、EDRソリューションが他のソースからテレメトリを取り込むことができても、通常はそのデータに基づいて分析・アラートを提供することができず、重要なセキュリティイベントを見逃してしまう可能性があります。一方、MDRはエンドポイント、ネットワーク、ID、クラウドなど、様々なソースからのテレメトリを統合することで、より広範な可視性、より詳細かつ正確なアラート、そしてカスタマイズされた対応機能を提供します。
MDRソリューションの利点
MDR ソリューションには、追加のキーボード操作や専門知識など、さまざまな利点があります。
MDR の利点は次のとおりです。
- 幅広い可視性: MDR ソリューションは、さまざまなアプローチを使用して資産を検出、識別、分類できるほか、複数のテレメトリ ソースからデータやセキュリティ イベントの観察を収集できます。
- 継続的な監視と対応: MDR ソリューションは、営業時間外や週末など社内のセキュリティ チームの人員が不足していたり対応できない場合でも、潜在的な脅威が発生したときに対応できる人的チームによる 24 時間 365 日の監視を提供できます。
- 管理された調査: MDR プロバイダーは多くの場合、内部チームに脅威の調査を管理させ、組織のセキュリティ チームの重労働やさまざまなアラートの選別を軽減します。これは、特に脅威の初期段階では、迅速な調査が全体的な結果に大きな違いをもたらす可能性があるためです。
- Gガイド付き修復: MDRは組織のセキュリティチームと連携し、スピード、専門知識、そし
MDRの欠点
MDRには多くの利点がありますが、組織がさまざまなベンダーやソリューションを評価する際には、いくつかの潜在的な課題を念頭に置く必要があります。これらは主に、セキュリティソリューションとその成果を第三者に委ねることに関係しています。
MDR ソリューションの課題は次のとおりです。
- カバレッジとスコープの制限:一部のサービスはMDRと名ばかりで、カバレッジとスコープを実際に網羅すると、ネットワークの特定の側面が除外されたり、優先順位が下げられたりする場合があります。さらに、このサービスは組織の既存のテクノロジースタックの一部と統合できなかったり、重複したりする可能性があり、カバレッジを確保するには「総入れ替え」が必要となる場合があります。
- 対応能力のばらつき: TDIRサービスにおける対応コンポーネントの有効性は、脅威を早期に阻止できるかどうか、あるいは本格的なインシデント対応に踏み切れるかどうかの分かれ目となる可能性があります。組織は、MDRプロバイダーが検知した脅威にどのように対応し、どのような対応策を講じ、どれだけ迅速に実行できるかを精査する必要があります。MDRプロバイダーが午前3時に顧客に脅威を警告したにもかかわらず、顧客のセキュリティチームが午前8時にオフィスに戻るまでにフォローアップや積極的な対応策を講じなかった場合、問題が発生する可能性があります。
- 人的要素との不一致: MDRは人的要素による管理を提供しますが、その範囲はベンダーによって異なります。お客様の環境を深く理解する専任チームや指名されたセキュリティ専門家はいますか?彼らとはどのようにコミュニケーションを取りますか?管理の全体的な範囲はどこまでですか?これらの質問への回答は、ベンダーや契約内容によって異なります。
あなたの組織に最適なMDRソリューションはどちらですか?
検知・対応ツールの有効性はお客様によって異なります。その価値と成果は、お客様の組織、セキュリティ目標、ビジネス目標、そしてIT環境固有の課題によって左右されます。
組織でエンドポイントを多用している場合、セキュリティ体制を強化しつつ、最も重要な点に集中するために、EDR を検討する選択肢となります。組織の攻撃対象領域が拡大し、多数の Web ベースのアプリケーションや ID が利用され、24 時間 365 日の監視が必要な複雑なネットワークになっている場合は、MDR オプションを検討する方が長期的にはより適している可能性があります。
さらに、これは二者択一ではありません。エンドポイントはITおよびセキュリティ環境の重要な部分であり、攻撃元がどこであろうと、多くの攻撃はエンドポイントを標的として実行およびエスカレーションされます。しかし、攻撃対象領域が拡大し、セキュリティニーズが変化するにつれて、組織はアイデンティティソースやクラウドインフラストラクチャから生じるリスクの増大を無視できなくなります。組織にとって何が最優先なのか、つまりセキュリティなのか、それともサポートなのか、という問題に突き当たるでしょう。
Arctic Wolfによる検知と対応
Arctic Wolfは、セキュリティ成熟度のどの段階にあっても、世界クラスのセキュリティとサポートの両方を受ける権利があると考えています。そのため、エンドポイントソリューションとMDRソリューションの両方をご提供し、お客様の最も貴重な資産を保護しながら、セキュリティ機能全体を運用できるよう支援します。
Aurora™ Endpoint Securityソリューションは、最新のEPPとEDRソリューションの機能を組み合わせ、市場をリードするAI主導の防御、検知、対応を実現する、成果重視のエンドポイントセキュリティを提供します。Aurora Endpoint Securityは、単体でも24時間365日体制の監視との組み合わせでも、使いやすく高い効果を発揮するように設計されており、柔軟な導入オプションを提供することで、防御を強化し、最終的には組織をコストのかかる侵害から保護します。
しかし、検知と対応においてエンドポイントは終わりではありません。Arctic Wolfのマネージド検知と対応(MDR)は、組織のセキュリティ強化を支援し、ネットワーク、エンドポイント、アイデンティティ、クラウド環境を24時間365日体制で監視します。広範な可視性、マネージド調査、ガイド付き修復など、Arctic Wolf MDRは、組織の拡大や脅威の進化に合わせて、一貫したサポートと業界をリードするテクノロジーを提供します。
Aurora Endpoint Defenseについて詳しくご覧ください。セキュリティ運用の価値を探ります。Aurora Endpoint Defense.
