MDR

MDR（Managed Detection and Response）とは、外部のセキュリティ専門企業が提供する脅威検知・対応のマネージドサービスです。24時間365日体制でセキュリティ監視を行い、脅威の検知だけでなく、インシデントの調査・分析・対応までを一貫して提供する点が特徴です。自社でSOC（Security Operations Center）を構築・運営するリソースや専門人材が不足している組織にとって、高度なセキュリティ運用能力を迅速に獲得できるソリューションです。

MDRは従来のマネージドセキュリティサービス（MSSP）とは異なり、単なるアラート通知ではなく、能動的な脅威ハンティングとインシデント対応を含む包括的なサービスを提供します。MDRベンダーのセキュリティアナリストが顧客環境のテレメトリデータをリアルタイムに分析し、AIと人間の知見を組み合わせて高精度な脅威検知を実現します。

サイバーセキュリティ人材の深刻な不足を背景に、MDR市場は急速に成長しています。特に中堅・中小企業において、社内にセキュリティ専門チームを維持することの困難さから、MDRサービスへの需要が高まっています。EDR/XDR製品の導入支援から運用、脅威ハンティング、インシデント対応リテイナーまでを包括的に提供するMDRベンダーが増加しており、組織のセキュリティ態勢を効率的に強化する選択肢として注目されています。

MDRとMSSPの違い

MSSP（Managed Security Service Provider）は主にセキュリティ機器の管理・監視とアラートの通知を行うサービスであり、検知されたアラートの詳細な調査や対応は顧客側の責任となるケースが多くあります。一方、MDRはアラートの調査・分析・対応までを含むため、顧客のセキュリティチームの負担を大幅に軽減します。

MSSPはファイアウォールやIDS/IPSの管理、ログの収集・保管など、インフラ寄りのサービスに強みがあります。対してMDRは、EDR/XDRを活用した高度な脅威検知、脅威インテリジェンスに基づくプロアクティブなハンティング、インシデント発生時の封じ込め・復旧支援など、より攻撃者視点に立ったサービスを提供します。組織のニーズに応じて、MSSPとMDRを併用するケースも増えています。

共同管理SOC（Co-Managed SOC）

共同管理SOCは、MDRベンダーと顧客のセキュリティチームが協力してセキュリティ監視・対応を行うモデルです。完全なアウトソーシングとは異なり、顧客側もセキュリティ運用に関与するため、自社環境に対する知見を活かしつつ、MDRベンダーの専門性と24/7体制の恩恵を受けることができます。

共同管理モデルでは、Tier 1（初期トリアージ）やオフピーク時間帯（夜間・休日）の監視をMDRベンダーが担当し、Tier 2以上のエスカレーションや業務影響判断を顧客側のチームが行うといった役割分担が一般的です。この体制により、顧客は自社のセキュリティ能力を段階的に向上させながら、専門ベンダーの知見を吸収するスキルトランスファーの効果も期待できます。

脅威ハンティングサービス

MDRの重要な差別化要素の一つが脅威ハンティングです。アラートを待つ受動的な監視とは異なり、MDRベンダーのアナリストが仮説駆動型のアプローチで、顧客環境内に潜伏している可能性のある脅威を能動的に探索します。

脅威ハンティングでは、最新の脅威インテリジェンス（攻撃グループのTTP、IoC、脆弱性情報）を基に検索クエリやハンティングプレイブックを作成し、顧客環境のテレメトリデータに対して実行します。MDRベンダーは多数の顧客環境を横断的に分析するため、ある顧客で発見された新たな攻撃手法を他の顧客環境でも迅速にハンティングできるという規模のメリットがあります。

インシデント対応リテイナー

インシデント対応リテイナー（IR Retainer）は、インシデント発生時に迅速な対応を保証する事前契約型のサービスです。MDRベンダーとリテイナー契約を締結することで、インシデント発生時にアナリストの確保や対応開始までの時間を短縮できます。

リテイナー契約には通常、年間の対応時間枠、初動対応のSLA（例：4時間以内に対応開始）、フォレンジック調査、根本原因分析、復旧支援などが含まれます。MDRサービスと組み合わせることで、日常的な監視から有事の対応まで一貫した体制を構築できるため、新たなベンダーを探して契約する時間的ロスを排除できます。

MDRベンダーの選定基準

MDRベンダーの選定にあたっては、複数の評価基準を総合的に判断する必要があります。対応範囲（検知のみか、封じ込め・復旧まで含むか）、対応時間のSLA（平均検知時間MTTD、平均対応時間MTTR）、脅威ハンティングの頻度と品質、対応可能なテクノロジースタック（EDR/XDR、クラウド、OT環境など）が主要な評価項目です。

さらに、アナリストの専門性と人数、脅威インテリジェンスの質、レポーティングとダッシュボードの充実度、既存セキュリティツールとの統合性、コンプライアンス対応能力なども重要な判断材料です。POC（概念実証）期間を設けて実際の検知・対応能力を評価し、サービスレビュー会議の頻度やコミュニケーション方法なども事前に確認することが推奨されます。

• 01
  明確なサービスレベルの定義と合意：MDRベンダーとのSLA（Service Level Agreement）において、検知から通知までの時間、インシデント対応開始までの時間、月次レポートの内容、脅威ハンティングの実施頻度など、具体的な数値目標を定義し合意してください。
• 02
  対応権限と範囲の明確な取り決め：MDRベンダーがインシデント対応時に実行可能なアクション（端末隔離、アカウントロック、ネットワーク遮断など）の範囲と承認フローを事前に取り決め、文書化してください。過剰な自動対応による業務影響を防ぐためのエスカレーションルールも策定しましょう。
• 03
  テレメトリデータの網羅的な提供：MDRベンダーに対して、エンドポイント、ネットワーク、クラウド、メール、認証ログなど、可能な限り広範なテレメトリデータを提供してください。データの網羅性が検知精度と脅威ハンティングの効果に直結します。
• 04
  定期的なサービスレビューの実施：月次または四半期ごとにMDRベンダーとのサービスレビュー会議を実施し、検知実績、対応状況、誤検知率、脅威トレンド、改善提案などを確認してください。KPIの達成状況を継続的にモニタリングし、サービス品質の維持・向上を図りましょう。
• 05
  インシデント対応プレイブックの共同策定：MDRベンダーと共同でインシデント対応プレイブックを策定し、脅威タイプごとの対応手順、エスカレーションフロー、関係者への連絡体制を明確化してください。定期的な机上演習やレッドチーム演習でプレイブックの有効性を検証しましょう。
• 06
  ベンダーロックインの回避策：MDRベンダーへの過度な依存を避けるため、使用するツールやデータ形式のオープン性を確認し、ベンダー変更時のデータ移行やナレッジトランスファーの手順を契約に含めてください。自社のセキュリティチームのスキル向上も並行して進めましょう。