MDR (マネージド・ディテクション & レスポンス) サービス選定に役立つ4つの視点とIBM Security MDRサービスの新機能

記事をシェアする:

ビジネスに戦略的なセキュリティーの成果をもたらすManaged Detection and Response （MDR）サービス。本サービスのプロバイダーを選択する際に役立つ4つの視点をご紹介します。

全5回からなるこれまでの連載 (英語)を通して、MDRサービスが組織にもたらすメリットをご紹介してきました。MDRサービスは、ビジネスの信頼性を高め、より安全なものにすることを目的に、主に4つの観点から、組織の目標達成を支援します。

• ビジネスとセキュリティー戦略の整合性 (英語)
• デジタル・ユーザー、資産、データの保護 (英語)
• 高まる脅威に対する防御の管理 (英語)
• オープンなマルチクラウド・プラットフォームによるセキュリティーのモダナイズ (英語)

シリーズ最後の本ブログでは、これまでの考察から得られた重要なポイントを、組織がMDRサービス・プロバイダーと確認すべき具体的な質問項目としてまとめてご紹介しています。また、IBM Securityが今回発表したIBM Security Managed Detection and Response（MDR）サービス (英語)の新機能についてもご紹介します。

Webセミナーを視聴する (要登録・英語)

ビジネス・ニーズに合致するMDRサービス

MDRサービスをビジネス固有のニーズに合わせる (英語)には、まずビジネスの目標を理解する必要があります。優先順位を付けて目標を明確にするには、定期的な評価やワークショップ実施などの方法が考えられます。

ビジネス・ニーズと合致したMDRサービスを導入するにあたり、MDRサービス・プロバイダーに最初に確認すべき重要な質問には、以下のものがあります。

• MDRプロバイダーは、どのように組織の最重要資産を優先順位付けしていますか？
• MDRプロバイダーは、その知見をモニタリング、検知、調査、脅威ハンティングと行った実践にどのように取り入れていますか？
• 提供されるMDRサービスは、ビジネスに対する理解と組織のセキュリティー・ニーズとをどのようにして合致させようとしていますか？
• 重要な資産をどれくらいの頻度で再評価していますか？最適化されたMDRプログラムは、ビジネスの目標が変化しても、その目標を支える資産に重点を続けます。

保護

デジタル・ユーザー、資産、データの保護 (英語)の観点では、事前対応型の封じ込めと修復のプロセスに切り替える際には注意が必要であり、一回限りの処置と見なしてはなりません。

以下の質問を自問して、エンドポイントの保護の実現過程において、現在どの段階にあるのかを確認してください。

• ニーズに合わせて調整された脅威インテリジェンスを活用していますか?
• このインテリジェンスは、TTP（戦術、手法、手順）と、セキュリティー侵害の静的指標の両方に基づいたものですか？
• セキュリティー・インシデントの結果をEndpoint Detection and Response（EDR）の微調整に活用していますか?
• 最適化された事前対応型の脅威ハンティングを定期的に実施していますか?
• ハンティングの結果を、新しい検知機能を追加したり既存の検知機能を拡張する際に活用していますか?
• 事前に承認されている封じ込めの手順を定期的に使ったりテストしたりしながら、必要に応じて変更していますか?

管理

高まる脅威に対する防御を適切に管理する (英語)という観点では、エージェントを管理するMDRサービス・プロバイダーと、エンドポイントを所有する顧客との間のパートナーシップが必要です。

MDRサービス・プロバイダーに確認する重要な質問には、以下のものがあります。

• 重要な資産、ユーザー、データを特定し、文書化するにはどうすればよいですか?
• データのローカライズのニーズを満たすソリューションを提供していますか?
• エージェントの正常性と可用性をどのように確保していますか?
• アップグレードや、新機能のテスト、検証、実装のプロセスはどのようなものですか?

MDRによるモダナイズ

オープンなマルチクラウド・プラットフォームによるセキュリティーのモダナイズ (英語)の観点では、クラウド・プラットフォームの利用が増加していることをご紹介しました。モダナイズするにあたって、MDRサービス・プロバイダーは、関連性と効率性を維持できるように対応する必要があります。

MDRサービスを選択する際に考慮すべき重要な質問には、以下の4つがあります。

• MDRサービス・プロバイダーは、EDRプラットフォームをいくつサポートしますか?
• 顧客がEDRプラットフォームを切り替えた場合でも、MDRサービス・プロバイダーは同等レベルのサービスを継続して提供できますか?
• MDRサービスは、エンドポイントのデータと、関連するその他のソースとの関連付けも行いますか?
• MDRプロバイダーはサービスを前向きに捉え、ユーザー保護の方法改善を重要視していますか？

MDRサービス・プロバイダーを選択する際は、主要な戦略的成果に着目することが重要になります。つまり、定義済みのユースケース（プロバイダーが行えることを評価する際に使用できる、既存のユースケース）にとって有効な成果や目標を有しているか、ということです。

MDRは脅威をどのように軽減できるのか

すべてのMDRサービスは、24時間365日体制で脅威を検知し、その影響を抑える必要があります。それらは、コア・サービス（リモート脅威モニタリング、検知、対象を絞り込んだ対応アクティビティー）に重点を置いたものでなければなりません。選択したサービス・プロバイダーが、これらのコア・サービスを最適な方法で提供できることを確認してください。さらに、ユーザーが必要とする保護を、ユーザーが理解できる言語で提供する必要もあります。自社のセキュリティー・チームを拡張した存在としての役割を担い、透明性と共創をもたらすプロバイダーが必要です。

この目的のために、IBMはIBM Security Managed Detection and Response（MDR）サービスの新機能を発表しました。これは、モダナイズされ、自動化されたAIによる検知と対応のサービスを企業全体に提供するリーダーとしてIBMを位置付ける戦略の一環です。

12の分野におけるグローバル・リーダーであり、世界最大規模の専任セキュリティー・サービス・チームと統合セキュリティー・エコシステムを擁するIBM Securityは、業界で最も広範な検知と対応のソリューション・ポートフォリオを提供します。IBM Security MDRは、IBM Security X-Force Threat Management（XFTM）ポートフォリオのコンポーネントであり、従来の脅威マネジメント・ベンダーの枠を超えた、脅威マネジメントのライフサイクル全体を管理するエンドツーエンドの統合ソリューションです。

IBM Security MDRの拡張サービスには、すぐに利用可能な24時間365日体制の脅威検知と迅速な対応の機能が含まれています。これは、脅威インテリジェンスと事前対応型の脅威ハンティングに支えられており、未検知の脅威を早い段階で明らかにすると同時に、SOCの生産性を向上させます。IBMのAIを活用した自動化と人間主導の分析との組み合わせにより、ハイブリッド・マルチクラウド環境のネットワークとエンドポイント全体で脅威に迅速に対応し、ゼロトラストの発想に基づく優れた脅威マネジメントを実現できます。詳細については、こちらのIBM Security Managed Detection and Response Services (英語)のページをご覧ください。

当ブログは、「Reaching Strategic Outcomes With an MDR Service Provider: Part 5」(英語)を一部更新し日本語に翻訳をしたものです。

【関連情報】

IBMセキュリティー・サービスの概要はこちら

【お問い合わせ】

本件及びIBM Securityに関するお問い合わせはこちらから

【著者情報】

Kimberly Fidler

IBM Security X-Forceインシデント対応サービス & MDR担当グローバル・オファリング・マネージャー
20年以上のIT業界での経験を有し、この10年間はIBMのセキュリティー・サービス・チームの一員として、X-Force インシデント対応 & 脅威インテリジェン・プログラムのプラクティブなサービス、インシデント対応、修復サービスのグローバル・ポートフォリオのあらゆる側面に携わってきました。これらのサービスには、X-Force IRIS Vision Retainer、アクティブ脅威アセスメント (脅威ハンティング)、サイバーセキュリティー・インシデント対応プランニング・サービスが含まれます。