MDRとは?守りの技術も“先鋭化” ~集積したノウハウをMDRで引き出す~

 2020.10.14  EDR実践ポータル

MDRとは?守りの技術も“先鋭化” ~集積したノウハウをMDRで引き出す~

攻防の前線は壁を超える敵との対峙

現実の世界と違い、サイバー空間の攻防は攻撃側が優位と言われます。その理由は攻撃ツールの大量生産、大量配布が容易というデジタルの特性があります。「ダークWeb」で流通しているプログラムの一部を改変するだけで、ファイアウォールやアンチウイルスソフトをすり抜ける例も珍しくありません。ゼロデイ攻撃という奇襲がいつ来るか分からない点も、企業側を不利にする要因の一つでしょう。

その一方で、膨大な数の攻撃の大多数は既存の技術がブロックしていることも事実です。現在の攻防の焦点は、城壁をかいくぐった少数の敵とのせめぎ合い。数は僅かであっても、巧妙で先鋭化した侵入者は、企業に甚大な被害をもたらしているからです。

“侵入をいち早く検知し、被害を最小限に止めること”

これが今のセキュリティチームに課せられた最大級のミッションと言っていいでしょう。

もちろん、固いガードを破った侵入者への対処は容易ではありません。こうした状況下で、チームの活動を支援するサービスとして登場したのが「MDR(Managed Detection and Response)」です。

起点は“境界防御”の限界

MDRを直訳すると「検出と対応・回復のマネジメント」。セキュリティに携わっている人にとっては、聞き慣れた単語の並びかと思いますが、新しさは“Managed”にあります。マネジメントの内容に進む前に、MDRのコンセプトが表舞台に出てきた背景について、お復習いをしておきましょう。

起点は“境界防御”の限界です。従来のセキュリティシステムは、社内LANとオープンなネットワークとの間にファイアウォールなどを設置し、境界の内側を守る方法で運用してきましたが、壁を超える攻撃の存在を軽視できなくなってきました。

99%の攻撃を阻止できたとしても、1%の侵入を許してしまえば深刻な被害が発生するからです。侵害を受ける可能性という尺度では結局は100%。侵入に数カ月気付かず、警察やサプライヤーなど第三者からの通報で発覚するケースも珍しくありません。

もう一つの要因は、2010年代から加速したクラウドシフト。情報システムの多くが、クラウドに移行し、ノートPCなどの端末から直接、クラウド側のサーバを利用する環境も整ってきました。テレワークの導入によって社外で情報機器を使う機会も増え、境界防御だけでは守りきれなくなったのです。

MDRの基盤はEDR

このような状況を受け、守る側の次の一手として開発されたのが、PCやモバイル機器、サーバなどのエンドポイントの単位で、脅威の検出と対応を行なう「EDR」です。100%の侵入阻止は困難という現実を直視し、攻撃を受けた際はすぐに検知して、適切な対処で被害の最小化を計るソリューションです。

「EDR」と並立して稼動しているのが「EPP」です。EDRの役割は、ガードを超えてきた敵への対応ですから、攻撃に対する最初の壁として機能するEPPも欠かせません。現在の企業の防御体制は、外部からのぼう大な攻撃に対してEPPでガードを固め、これをすり抜けた侵入者への対処をEDRが引き継ぐという形です。

  エンドポイントセキュリティ(保護)の構図

 - EPP(EndPoint Protection Platform)     :外部からの脅威に対するガード

 - EDR(EndPoint Detection and Response):万一の侵入時における検出と対応

                         ⇩

 MDRManaged Detection and Response)で補強

CROWDSTRIKE FALCON INSIGHT ENDPOINT DETECTION AND RESPONSE (EDR)
脅威インテリジェンス

EDRの進化をMDRが伝搬

EPPとEDRは、すべての企業に必要な基本装備と言えますが、攻撃が先鋭化している今の攻防の最前線は、壁を超えてきた侵入者への適切な対処、つまりEDRの強化にあります。その意味では、MDRはEDRの進化が生んだものと考えていいでしょう。

EDRのアプローチと実装方法はさまざまです。検出と対応を行なうには、攻撃の兆候の把握、攻撃手法の特定、不正な動作の阻止、侵入経路の特定、ネットワークの遮断といった作業を、迅速に行なう必要があります。状況を分析するための豊富なシステムリソースと、専門知識を備えたセキュリティチームの存在は欠かせません。

ここで求められるのが“Managed”。人員と予算に制約がある多くの企業では、わずかな隙を突いてくる侵入者への臨機応変の対応は難しいため、セキュリティ企業などが運用まで支援する体制を敷くようになり、この流れがMDRとして定義されるようになったのです。

MDRの実力はEDRの成熟度に比例

MDRは特定のハードウエアやシステムではなく、運用まで支援するサービスの名称です。展開するベンダーによってアプローチは少しずつ違いますが、その効力は実質的にはEDRの機能に依存すると考えていいでしょう。

エンドポイント保護の強化→ EDRの成熟→   前線での運用は専門家がサポート

                                           ↓                 ↓

                           分析・対応力をアップ   →  MDR

これ以降は、MDRを見極める上で参考になる情報として、EDRの進化過程と最前線での取組みをご紹介しましょう。

EDRの進化プロセス

企業のセキュリティ対策におけるEDRの位置付けは、以下の4ステップに区分できます。

1.EDRなし→ 2.限定的なEDR → 3.インテリジェントEDR → 4.マネージド型EDR

図1-1

4段階に区分できるEDRの進化プロセス

1.EDRなし

気が付かないうちにセキュリティ侵害を受ける“Silent failure”。EPPをすり抜けようとする攻撃に対するガードが脆弱になり、すべての企業がもっとも避けなければならない“Silent failure”のリスクが高まってしまう状態です。

2.限定的なEDR

エンドポイントのログを収集し、脅威の検知ができるようになった状態です。データの分析は社内で行なう必要があり、一定の時間と専門知識を要します。 

3.インテリジェントEDR

リアルタイムの脅威検出と分析が自動的に行なわれます。企業のセキュリティチームは、そのときどきの状況に応じたカスタム検索も、柔軟に実施できるようになります。

4.マネジメント型EDR

セキュリティベンダーの専任チームのサポートが加わる形です。システムが検出する結果を待つだけでなく、世界中の脅威情報がリアルタイムで登録される「脅威インテリジェンス」から見える状況も加味し、情報と専門知識の提供も通じて安全維持を継続的にサポート。現時点での最高レベルの保護機能が提供されます。

エンドポイントの事象を隈なく可視化

マネジメント型EDRのキーテクノロジーは“可視性”です。すべてのエンドポイントで発生している事象を、セキュリティの視点から、いつ、どこで、何が、なぜ攻撃を受けたか、攻撃者は誰かといった背景情報も可視化。レジストリの変更やドライバ更新、メモリアクセスなど、数百種類のイベントログをクラウドにアップし、こうしたデータを元に攻撃者の行動をビジュアルな状態で分析・追跡できるようにします。

図2-1

潜んでいた攻撃(fancy bear)を検知した画面のイメージ

マネジメントレベルのサービスでは、あらゆる攻撃の兆候を検知し、その全体像を迅速に提示するような高度な処理も欠かせません。例えば、プロセスツリーを用いて、攻撃の詳細を自動的に解明し、管理画面で分かりやすく表示。調査の迅速化と簡素化に貢献します。

下図は、Outlookから始まったスピアフィッシング攻撃の全貌を捉えたイメージです。Outlookのリンクからブラウザを起動して不正なコードを実行し、ユーザーの認証情報を搾取しようとした動きを、1画面上に可視化したものです。

図3-1

プロセスツリーで攻撃の全体像を可視化(イメージ)

原動力は卓越した脅威ハンティングと専門家チーム

EDRに求められる機能は高度化、多様化しています。攻撃を検出し、遮断か許可かを判断するだけでは、先鋭化した手口による被害は防ぎきれません。攻撃の発生を待つだけではなく、ネットワーク上のエンドポイントや脅威インテリジェンスなどのリソースに能動的に働きかけて、攻撃の兆候を早期に検知し、適切な対処を行なうことが企業の防御能力を高めるのです。

繰り返しになりますが、MDRはあくまでも“サービス名称”で、その実力はEDRの機能に比例します。バックボーンには、可視性に優れ、迅速で緻密な脅威ハンティングができるEDR、そして経験豊富な専門家で構成されるセキュリティチームが24時間365日、サポートする体制が欠かせません。

マネージド型EDRは、休みなく機能の更新とノウハウの集積を続けており、今後さらに高まっていくと思われるMDRのニーズを支えていくはずです。

ENDPOINT DETECTION AND RESPONSE

RECENT POST「セキュリティ全般」の最新記事


MDRとは?守りの技術も“先鋭化” ~集積したノウハウをMDRで引き出す~
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング