エンドポイントを常時監視して不正アクセスやマルウェアの検知・対処を行うEDR（Endpoint Detection and Response）は、多くの組織で導入が進んでいます。しかし、EDRが実際に事業を守る状態になっているのかについては、重大な課題があります。

EDRという仕組みは「高画質な録画機を設置すること」とよく似ています。EDRを導入すれば侵入された痕跡、その後に何が起きたか証拠がしっかり残ります。
これに対し、運用体制であるMDR（Managed Detection and Response）は、「24時間有人監視の防災センターを構築する」のようなものです。

EDRは何が起きたのかを記録するもので、MDRは今何を止めるべきかを判断して事業を守るものです。録画機は犯行の一部始終を映すことができますが、犯行の瞬間、そこに判断する人がいなければ被害を止めることはできず、守れているとは言えません。EDRだけを導入している場合と、MDRも導入している場合の決定的な違いは、深夜や休日にも判断が存在する設計になっているかどうかという点にあります。

セキュリティ運用における判断の重要性を、2つの点から解説します。

セキュリティは、ツールを導入した瞬間に強くなるものではありません。EDRを導入しており、アラートが出てログも残っているにもかかわらず、被害が止まらない現場があります。その理由は、導入後の運用と判断の設計が追いついていないからです。事業を守るためには、深夜や休日にも判断が存在する状態になっていることが必要不可欠です。

判断が存在しない深夜の数時間に何が起きているのかを、実際のインシデント調査でよく見られる時間軸で確認しましょう。

攻撃者は深夜2時に動き出します。まず侵入して、内部を偵察し、4時頃には権限を奪取。朝7時頃にはランサムウェアが実行され、暗号化が完了します。社内の担当者が寝ている約5時間、判断の空白が生じます。午前9時に社員が出社し、アラートや異常に気づくのは、全てが終わった後です。

こうした事例は、決して対応が遅かったわけではありません。対応できる人が存在しない時間が最初から設計に組み込まれているのです。問題はスピードや技術ではなく、判断が存在しない時間があること自体が重大なリスクだと言えます。

こうした攻撃には、ツールだけでは異常として検知できないものもあります。最近の攻撃では、PowerShellのようなOSに元々備わっている正規の管理ツールがそのまま悪用されるケースが増加しています。システムの動きだけを見ると、通常業務での操作と区別がつかないため、アラートが出ないことも珍しくありません。システム上は問題なしと判断されたまま、攻撃が進行してしまうリスクがあります。既知のマルウェアであれば機械的に検知ができますが、正規ツールを使って管理者になりすます攻撃は単純な検知では止められません。その操作が本当に業務として自然なのかを、プロの目で判断することが必要です。

セキュリティ運用の現場が抱えることの多い、3つの大きな壁について説明します。

1日数百件にも上るアラートの中から本当に危険なものを見抜くには、専門的な解析力が必要です。

24時間365日、人が張り付くという前提は物理的に成立しません。

業務を止めるか止めないか。この判断をたった1人に背負わせる設計そのものが、最大のリスクです。これは努力の問題ではなく、構造の問題です。

これら3つの壁は、どれかひとつを頑張れば超えられるものではありません。スキルを高めても時間の壁は残ります。時間を確保しても判断の重さは消えません。むしろ真面目で責任感の強い人ほど、判断の壁に追いつめられていく構造になっています。

セキュリティ運用の現場が抱える問題の解決策は非常にシンプルで、判断と対処を外部のMDRに委ねるという選択です。

深夜に業務を止めるリスクと情報漏洩のリスクのどちらかを選択する判断を担当者1人に背負わせる設計そのものが、すでにリスクです。深夜や休日でも、MDRが自社の代わりに判断をするため、社内の担当者に任せることがなくなります。MDRでは24時間常駐する専門家チームが判断と初動対応を行い、担当者に対処完了という結果が届く状態を作ります。MDRは、判断を属人化させないための設計です。

判断ができても、対応できなければ防御にはなりません。重要なのは、誰がいつ止める判断をするのかという設計です。 深夜2時に攻撃を検知してプロがこれは業務を止めるべきだと判断したとしても、承認を待っていては間に合いません。秒単位で被害が広がっていきます。深夜でも迷わずに止める権限を事前に委ねるルールが必要です。

MDRではアラートの検知だけでなく、プロが解釈・解析して止めるべき攻撃だと判断した場合にはお客様の承認を待たずに即時に隔離遮断を実施します。これは強引な運用ではなく、事前に合意したルールに基づいた、計画された対応です。判断があっても動けない状態は、監視をしていても守られていない状態です。24時間365日、判断と実行がセットで常に存在するのが、防災センターとしてのMDRになります。

勝手に業務を止められたら困るという懸念に対しては「二段構え」のルールで対応します。まず、ランサムウェアなど一刻を争う明確な脅威に対してはお客様の承認を待たずに即時に隔離します。迷っている時間が被害拡大につながる領域だからです。その一方で、業務影響が大きい環境や止めた時の影響が読みにくいケースについては、お客様と事前に協議したルールに沿って対応します。必要に応じてプロが判断材料を添えて協議・確認をしながら進めます。停止すべき攻撃と相談すべき事象を切り分けて、共に守るために並走する判断を仕組みにするのです。この二段構えを成立させるには、窓口と責任が分断されないことが重要です。

有事の際にいちばん危険なのは、判断が途中で途切れてしまうことです。現場でしばしば発生するのが、それはメーカーに聞いてくれ、それはベンダーの担当だといった「たらい回し」です。この時間は、攻撃者にとってのボーナスタイムになることもあります。重要となるのは、調査から判断、対応までの責任をワンストップにすることです。責任が分断されていると、判断は必ず途中で止まります。

MDRでは検知から調査、判断、初動対応までをひとつの流れとして引き受け、判断が途切れない設計を前提にします。たらい回しを起こさない体制が防御力になり、日々の運用もワンストップで的確に行うことができます。

セキュリティ運用にMDRを導入する主なメリットとしては、以下の点が挙げられます。

優秀な個人に依存する体制は、実は非常に不安定です。採用難や離職によって守りの品質やコストが簡単に揺らいでしまいます。MDRの導入によって、人材リスクという変動費をセキュリティという固定費に転換します。

深夜の守りを担当者個人の努力や責任感に任せる設計をやめ、人が変わっても守りの品質を同一にします。これは単なる効率化ではなく、属人性を排除する内部統制でもあります。

ログ監視やアラート対応などは重要な業務ですが、ITを担う組織として果たすべきミッションそのものではありません。判断と初動対応をMDRに委ねることで、組織が本来向き合うべき価値創出や業務改善、 サービス品質向上、将来に向けた投資判断などに時間と意思決定を使えるようになります。

自社運用とMDRの3つの相違点を整理します。

自社運用では、どうしても担当者個人への依存度が高くなります。MDRでは、専門家チームによる無理のない運用体制を有しています。

自社運用では、深夜の止める止めないの判断を個人が背負うことになります。MDRでは、事前に決めたルールを組織として履行する設計に変わります。

セキュリティは、被害をゼロにするという話ではありません。いかに早く判断して被害を最小化できるかが重要です。即時対応の可否で、被害規模に大きな差が出ます。

自社のセキュリティを今日から変えることのできる現実解は、以下の4つです。

EDRはどの組織にとっても必要な仕組みですが、判断する人がいない時間がある状態では不十分です。ツールに専門家の運用を組み合わせることで、EDRは録画機から24時間判断が存在する体制に変わります。

深夜対応を特定の人の責任や負担に依存する設計は、必ずどこかで破綻します。個人の努力を前提にしない運用設計こそが重要な設計思想です。

判断と初動対応を体制に委ねることで、ITを担う組織はそれぞれが果たすべき役割や、価値創出などに時間と判断力を使うことができるようになります。

導入、監視、判断、初動対応が分断されると、判断の空白が生まれてしまいます。重要なのは、最初から判断が途切れない体制を前提とすることです。EDRを録画機で終わらせず、専門家による判断が止まらない体制に進化させます。

これらを実現することで、組織に24時間判断が存在する防災センターができます。

システムは止まらず迷わず使い続けられてこそ価値があります。深夜でも判断が止まらないセキュリティは、インテックがシステム運用で培ってきた考え方そのものになります。ITの導入ではなく、安心して使い続けられる状態をどう作るかが、私たちの事業です。

EDR やファイアウォールはあくまで部品であり、それがどう運用されるかが重要です。 インテックでは、設計段階から運用されることを前提にしています。この前提をそのまま形にしたのが「統合型マネージドセキュリティサービス　エンドポイントセキュリティ」です。

「統合型マネージドセキュリティサービス　エンドポイントセキュリティ」の主な特長は以下の通りです。