EDRを導入するだけでは脅威は防げない、効果を高めるための運用のポイントとは

　エンドポイント保護製品の中でも注目されるEDR（Endpoint Detection and Response）。その特長は、OSの動作を解析して怪しい振る舞いを検知することで従来のマルウェア対策では困難だった未知の攻撃に対する防御を可能にし、侵入後の情報流出も未然に防ぐことにある。一方、従来のように特定のファイルを駆除するだけでは防御できないことも多く、その活用にはアラートの精査と内容に応じて対応できる人員と体制が不可欠だ。

　しかし、最近は企業の初動対応が遅れがちな夜間休日を狙った攻撃も多く、自社でSOC（Security Operations Center）を設置するのはコスト負担が大きい。そこで注目されているのが、運用アウトソーシングサービスであるMDR（Managed Detection and Response）だ。ただし、提供元により内容が異なるため、ユーザーの負担をできるだけ低減できるものを選ぶ必要がある。

　例えば、アラート解析や脅威の封じ込めだけでなく脅威除去や回復支援も対応しているか、脅威ハンティング以外にITハイジーンやデジタルリスク監視もメニューに含まれているか、といった点はチェックしたい。本資料では、こうしたMDRの要件を解説しているので参考にしてほしい。