SIEM、EDR、MDR – 自社運用か外部委託か?
ITやサイバーセキュリティは、時間が経つにつれて複雑化し、それを繰り返す
ITやサイバーセキュリティは、時間が経つにつれて複雑化し、それを繰り返す
従来の予防的なセキュリティ対策であるファイアウォール、エンドポイント保護、アイデンティティ/アクセス管理(IAM)制御などは、もはや単体でサイバー脅威を防御することはできません。これまで、この問題を解決する論理的なアプローチは、SIEM(セキュリティ情報およびイベント管理)プラットフォームを使用して、すべてのアラートとデータを組み合わせることでした。しかし、SIEMを解決手段としている組織では、その結果、多くの管理対象から精度が大きく異なるデータの洪水が発生することがしばしばありました。そこで、さらなる進化を遂げることになったりました。それが、EDRとMDRです。
次の問題:多くのサイバーセキュリティ企業が、EDR, MDR、XDR製品を提供していると謳っています。 宣伝通りの製品に遭遇する確率は高いのですが、製品自体が少し変わっていることもあります。あなたの組織では、何を必要としているのか、次にどのセキュリティプロバイダーの製品を検討すべきかを明確にする必要があります。すでに運用しているSIEMが順調に機能している可能性は十分にありますが、同様に、社内のSOCセンターが扱う社内SIEMは、定期的にメンテナンスを必要とすることから、実際にビジネスを保護するチームのリソースを消耗させてしまうことも多々あります。最も有能なメンバーが膨大なログファイルの管理に追われることになると、彼らのモチベーションや熱意を維持することは困難です。
社内リソースの制約
おそらく最初の質問は、時間、人材、そしてツールに関するものかと思います。脅威の検知や脅威ハンティングを含む検知と対応機能を6か月以内に稼働させる必要がありますか? 24時間年中無休の監視と対応サービスを稼働できる経験豊かなチームを擁していますか? 本当に時間が最優先すべき課題の場合は、外部ベンダーやマネージドセキュリティサービスプロバイダー(MSSP)のいずれかによるMDRサービスがおそらく最善の選択肢となります。自社で能力を高める間の応急処置としてMDRサービスを利用するという選択肢もありますが、この種のサービスを管理するための人員とスキル確保のための予算が不足している場合は、他社に任せることも捨てがたい選択肢です。
最適なプラットフォームは、SIEM、EDR、それともMDR?
まずは両極端に位置づけられるものから見てみましょう。すべてを自分たちで把握し、コントロールするべきという考え方と、それらすべての問題を専門プロバイダーに委ねるとい要望です。これらは両極端であり、当然のことながら、多くの組織はこの2つの間のどこかに位置しています。そして、EDRもこの中間に位置しており、サイバーセキュリティチームにとっては、パワフルで継続的な可視性が得られる頼もしいツールです。また、事態が深刻になり始めた際に、堅実なセキュリティプロバイダーであるなら、狡猾な攻撃や圧倒されるような攻撃を受けても、何らかの方法で社内の多くの専門家や対応担当者に警告を発出してくれます。たとえば、当社では、まさにこのことを実現するために、EDRの機能とMDRの全サービスを橋渡しする「WithSecure™ Elevate」 という当社の専門家のアドバイスを得られるオプションのサービスを提供しています。こういった機能を求めている組織には、マネージドサービスまたはセルフマネージドサービスの一部として当社のパートナーを介して提供されるWithSecureTM Elements EDRが最適です。当社では、研究者、脅威ハンター、インシデント対応者を多数揃えているため、お客様のチームがより大規模な、あるいは特化した専門知識を必要とされる場合には支援させていただきます。
一方で、優れたSIEMが理にかなっている場合もあります。規制への遵守が優先され、社内に優秀なチームの体制がしっかり整っている場合は、自社運用が有効になります。また、フォレンジックの記録、分析、エンドポイントデバイス管理が優先される場合は、強力で効果的なSIEMの構築と維持が必須になります。これには、かなりのコストがかかりますが、このようなニーズがある業界で、組織のリーダーに多少なりとも経験があれば、これらの費用はすでに事業コストに織り込まれている可能性が高いでしょう。例外があるとすれば、クラウド一辺倒のアプローチを追求している組織です。残念ながら、そのような組織に希望の光は見出せません。なぜなら、SIEMを構築して全てを追跡することで、クラウドのアプローチから得られるコスト削減や柔軟性は影をひそめてしまうからです。.
オンプレミス版のMDRはどうか?
上記のいずれにも当てはまらないケースではMDRが有効です。オンプレミスIT、ISO27001認定の一環で満たすべき新たなセキュリティ要件、10%を超える誤検知率、および社内外からの脅威などに対しては、MDRアプローチ、特に厳格なUEBA(User Entity and Behavior Analytics)を用いたアプローチが適しています。また、熟練スタッフの雇用や維持に苦戦している場合も同様です。確実な対応、既存のITセキュリティリソースを解放する必要性、チーム能力を向上させる必要性などは、いずれもMDRが最適な選択肢であることを示す指標になります。また、脅威ハンティングの知識が組織的に蓄積されていない場合や、セキュリティチームがアラートに対応できていない場合も同様です。MDRとしては、当社のCountercept MDRや、当社のパートナー企業が提供しているマネージドEDRサービスがその目的に叶っています。組織に業界固有の要件があったり、英語以外の言語によるサービスを希望する場合には、ローカルパートナーが提供するMDRを利用するのが良いでしょう。24時間365日の監視と対応サービスが必須ではない場合も、パートナーによるマネージドサービスが適切なケースがあります。最後に、組織が攻撃を受けていない間に、セキュリティのインサイトや態勢改善の提案の着実な実践を重視する場合は、Countercept MDRが最適です。当社の脅威ハンターは、脅威の調査や攻撃者の立場で考えることに多くの時間を費やしており、これらのインサイトをお客様に届けることが彼らの仕事の一部になっています。
次の一手は?
自社独自の検知・対応システムを構築することはとても魅力的ですが、それが最適な道なのかを見極める必要があります。自社の組織にどのアプローチが適しているか迷っているのでしたら、いつでも当社の専門家に相談してください。
中間的な位置づけとして、独力で強力なEDRを使うことに魅力を感じるのであれば、EDRが必要な理由を精査することが次の論理的なステップとなります。
最後に、Managed Detection and Responseが多くのニーズを満たしてくれると判断された場合、当社では最適なMDRプロバイダーを選択するのに役立つ14の質問をご用意しています。
Eager to find the perfect solution for your needs?
Contact us and let our experts help you through the decision-making process.