“なぜか負担が減らないMDR”とはひと味違う「脱・アラート地獄」の手段とは？：カタログスペックよりも「実効性」にこだわる

人材不足の中、巧妙化する脅威に対峙するセキュリティ担当者には、大きな負担がのしかかる。軽減策として導入した「MDR」もいまいち効果がない――。こうした悩みを解消するのが、実効性を重視した新たなMDRだ。

PR／＠IT

PR

　企業システムを稼働不能の状態に陥れたり、情報を窃取したりして金銭を要求する「ランサムウェア」（身代金要求型マルウェア）の影響が広がっている。自らの政治・信条をアピールしようとする「ハクティビスト」の攻撃、国家や軍を背景とした集団による攻撃なども活発化。こうした多様化するサイバー攻撃の脅威に、企業はさらされ続けている。

NTTセキュリティ・ジャパンの横山恵一氏（マネージドセキュリティサービス部長）

　攻撃手法として新しくはないものの、継続的に実害を引き起こしているのがフィッシングだ。AI（人工知能）技術の進化・普及が、フィッシングをさらに厄介にしている。「生成AIの力で、より本物らしく、だましやすいフィッシングサイトやフィッシングメールを作りやすくなっています」と、NTTセキュリティ・ジャパンの横山恵一氏は語る。

　テレワークの普及に伴って、利用が広がるVPN（仮想プライベートネットワーク）機器を狙った攻撃も深刻化している。VPN機器の脆弱（ぜいじゃく）性を突いて内部に侵入した攻撃者は、すぐには目立った活動をしなくなった。「時間をかけて内部を調査し、最終的に情報を窃取して、その後にランサムウェアを仕掛けるのです」と横山氏は説明する。攻撃者は盗み出した情報を“人質”に取り、脅迫によって被害組織からダイレクトに金銭を得る。

組織化によって何歩も先を行く攻撃側

　「攻撃側の組織化や専門化は、想像以上に進んでいます」と、NTTセキュリティ・ジャパンの関根太郎氏は強調する。世界規模のランサムウェア攻撃といった比較的大規模な攻撃キャンペーンの実行主は、一般的には個人ではなく、集団で活動する攻撃者組織だ。こうした攻撃者組織の行動は「案件ごとに異なる専門性を持つ業者と連携しながら攻撃を仕掛けるなど、非常に洗練されています」と関根氏は指摘する。

　企業のセキュリティ担当者にとって、自社に適したセキュリティ製品を的確に選定し、それらを24時間365日、休むことなく運用し続けることは簡単なことではない。これらの行動の内容や質は、セキュリティ担当者のスキルやノウハウに依存する。とはいえ少数精鋭では、できることにも限界がある。世界的にセキュリティ人材が不足する中、社外から優秀な人材をセキュリティ担当者として雇い入れることは、容易には期待できない。社内での育成に成功したとしても、そうしたセキュリティ人材は引く手あまたであり、引き留めることさえ難しい。

頼みの綱「MDR」にも課題が

NTTセキュリティ・ジャパンの関根太郎氏（代表取締役社長）

　サイバー攻撃は日々、巧妙化し続けている。次々に生まれる新たな攻撃に対して「防御側にも、脅威や対策に関する知識の継続的なアップデートが必要になっています」と関根氏は語る。

　脅威への対処がますます難しくなる中、企業が抱えるセキュリティ対策の負担を肩代わりし、効果的な対策を支援するために生まれたのが、「MDR」（Managed Detection and Response）と呼ばれるマネージドセキュリティサービスだ。MDRでは、セキュリティに関する知見を持つ専門家が、ユーザー企業に代わってセキュリティ製品を運用。各製品から得られるログやアラートを分析して異常を検出し、深刻な脅威だと判断すれば、通信の遮断や端末の隔離といった一次対処をする。

　一般的なMDRは、セキュリティ製品からのログを「SIEM」（セキュリティ情報・イベント管理）製品などのログ管理製品に集約して分析し、「危険だ」と考えられる脅威をユーザー企業に通知する。ただし危険性の判断は、MDRを構成するログ管理製品の機能・性能や、運用する事業者スタッフの力量に依存することになる。それらの水準が期待に満たない場合、企業のセキュリティ担当者は、重大なインシデントを見逃したり、本来は危険ではない事象に対してアラートを発する「過検知」に振り回されたりすることになる。

実効性にこだわった「NTT SecurityのMDRサービス」

　「セキュリティ対策の負担軽減のために導入したはずのMDRが、結果的に新たな負担を生んでしまう」といったジレンマは避けなければならない。こうした中、単なるカタログスペックとしての「できるか、できないか」ではなく、実運用での効果にこだわってNTTセキュリティ・ジャパンが開発し、2025年7月に提供し始めたMDRが「NTT SecurityのMDRサービス」だ。

　同サービスはEDRをはじめ、多層防御を構成するセキュリティ製品群など、さまざまな監視対象からログを収集。それらのログの相関分析に加えて、場合によっては攻撃に使われた可能性のあるプログラムそのものを分析したりしながら、多層防御をすり抜ける攻撃や、検体を残さないファイルレスマルウェア攻撃、マルウェアを利用しないリビングオフザランド（LotL）攻撃も含めて脅威を検知する。「システムと人の両方で深い分析を加えることで、大量の情報の中から本当に危ないものだけを見つけ、お客さまに通知します」と横山氏は説明する。

　他のMDRと比べた際の特徴は幾つかある。1つ目は、高度な知見を有するセキュリティアナリストの存在だ。「CISSP」「GIAC」などのセキュリティ国際資格や国際セキュリティカンファレンスでの発表実績を持つセキュリティアナリストが30人おり、運用担当者50人とチームを組んで24時間365日体制で脅威の解析に従事している。セキュリティアナリストが、大量に生じるログやアラートの中から「通常であれば見逃しがちな兆候も含めて、真の脅威を見つけます」と横山氏は説明する。専用ポータルを通じて、通知した脅威の内容に対してセキュリティアナリストに直接問い合わせることもできる。

専用ポータルを利用すれば、セキュリティアナリストにリアルタイムで問い合わせることが可能（提供：NTTセキュリティ・ジャパン）《クリックで拡大》

　2つ目は、さまざまなベンダー製品のログを扱える「ベンダーフリー」の強みだ。「EDR」（エンドポイント脅威検知・対処）などのセキュリティ製品ベンダーが提供する一般的なMDRの中には、監視・分析対象が自社製品のログに限られることがある。NTT SecurityのMDRサービスはファイアウォールやIDS／IPS（不正侵入検知・防止システム）、エンドポイントセキュリティ製品から、コンテナ、クラウドサービス、OT（社会インフラや工場設備の制御・運用技術）製品に至るまで、幅広い分野およびベンダーの製品からログを取得し、分析できる。

　MDRの中には、管理対象ログの種類の多さを誇るものが他にもある。ただし単にログをそのまま受け取ることができるといった程度では、脅威の検知や対処に即座に生かすことが難しい。NTT SecurityのMDRサービスは、取得したログに正規化など適切な加工を加えて統一化することで、すぐにSIEMで相関分析できるようにしている。まさに“生きた分析・検知”をするための、実効的なログ活用を図っているのだ。

　通常のログだけでは見えにくい脅威を見つけ出すため、独自の脅威情報を収集する仕組みを設けていることが、3つ目の特徴だ。例えば市販のセキュリティ製品向けのカスタムシグネチャ（EDRの場合はカスタムIOC〈侵害指標〉）を作成したり、SIEMにマルウェア解析情報や攻撃者の手法（TTP）に基づいた独自の分析ロジックを加えたりと「未知の攻撃を検知しやすくする取り組みを重ねています」と横山氏は語る。既存のセキュリティツールでは収集し切れない情報を得るため、OS内の深い情報まで収集できる独自エージェントも開発し、活用できるようにしているという。

マルウェア解析（静的解析および動的解析）を通じて抽出したIoC（侵害指標）を基に、SIEMに独自の分析ロジックを組み込む（提供：NTTセキュリティ・ジャパン）《クリックで拡大》

IRチームとの密接な連携で実害を食い止める

　実害を最小限にとどめるためには、脅威を検知した後に、可能な限り迅速に手を打つことが大切だ。脅威への迅速な対処に役立つセキュリティサービスに「インシデントレスポンス」（IR）サービスがある。ただしIRサービスの長期契約を締結していない場合、まずは契約から始める必要があり、利用までに数日から1週間程度かかってしまうこともある。IRサービスを有償オプションとして用意しているMDRもあるものの、MDRとは別の事業者が提供していたり、同じ事業者が提供している場合でもMDRとは別チームが担当していたりすると、迅速な連携が取りにくい。

　NTT SecurityのMDRサービスは、やはりIRサービスを有償オプションとして提供する。事前にIRサービスチケットを購入してもらうことでIRチームのリソースが確保され、インシデント発生時に即時に連携して対応できる。特徴は、MDRサービスの運用を担うチームと、IRサービスを担うチームの密接な連携だ。同じセキュリティオペレーションセンター（SOC）の中で活動するMDRチームから、IRチームにそのままハンドオーバーし、対処までワンストップで実現する。IRの実作業に必要なログについては標準で400日分を保存しており、IRチームは迅速に調査・対処に着手できる。

　特に海外に工場などの拠点を展開する企業にとって安心材料となるのが、NTT SecurityのMDRサービスがグローバルで利用できる点だ。まず海外拠点を侵害し、そこから本社に侵入するといった攻撃者の行動がしばしば見られることから「グローバルで標準的なセキュリティサービスを導入し、運用したいというニーズが高まっています」と横山氏は語る。NTTセキュリティの欧州拠点は、EU（欧州連合）のGDPR（一般データ保護規則）を順守して、NTT SecurityのMDRサービスを運用できる体制を整えている。

生成AIも生かして、より“使える”サービスへ

　NTTセキュリティ・ジャパンは、脆弱性診断サービスの「脆弱性マネジメント」をはじめとする各種セキュリティサービスをNTT SecurityのMDRサービスと組み合わせることで、インシデントが起こる前段階の対策も支援する方針だ。「セキュリティサービスの組み合わせによって、具体的な運用により踏み込んだ支援を実現したいと考えています」（関根氏）

　生成AIの普及前から、NTTセキュリティ・ジャパンはフィッシングサイト検出などにAI技術を活用してきた。同社はこうした実績を生かして、さらにセキュリティサービスへのAI技術の活用を促進する。ユーザーがログを検索・分析する、グローバル展開している企業の現地法人でもインシデントレポートを迅速に翻訳するといった、企業のセキュリティ担当者の利便性向上につながる活用方法を模索する。

　カタログスペックやうたい文句ではなく、本当に実効性のあるセキュリティサービスを提供したい――。NTTセキュリティ・ジャパンはこうした信念の下、セキュリティ担当者の負担を軽減し、安心して利用できるMDRなどのセキュリティサービスの在り方を、これからも追い求める構えだ。