エンドポイント対策以外に十分なセキュリティ対策が実行しづらいテレワークが普及するなか、世の中ではランサムウェアによる被害が増加する一方だ。

そこで注目が高まっているのが、EDR（Endpoint Detection & Response）である。エンドポイントにおいて継続的に脅威を監視するソリューションであり、これを高度化し、ネットワークやクラウド等にあるセンサーからも情報を収集して脅威を検知するXDR（eXtended Detection & Response）の導入を検討する企業も増えている。

だが、このEDR/XDRの運用には大きな課題があると指摘するのは、セキュリティベンダーのソフォスでセールスエンジニアリング本部副本部長 兼 シニアセールスエンジニアを務める杉浦一洋氏だ。

「導入を検討する際、検知されたものを誰が対応するのかという課題が必ず挙がる。EDR/XDRは『人がレスポンスする』ものであり、検知した内容を見て、人が驚異かどうかを判断し対応する。自社内に運用スキルを持つ人がいるのかが問題になる」

EDR/XDR導入・運用の課題

そこで役立つのが、セキュリティ専門家が脅威の分析や対処を行ってくれる「SOCサービス」だが、同氏によれば、これもユーザー企業にとって使いやすい環境にはないという。「こういった対処をお願いしますと通知するだけ」のサービスもあれば、そもそも、EDR/XDR製品の利用料とは別に「数百万のコストが必要。しかも、最低ユーザー数が設定されているため、規模の小さな企業は契約すらできない」状況にあるという。

ソフォスではこの問題に対処するため、約2年前に海外で、脅威検知後の対処まですべてカバーする「Managed Threat Response（MTR）サービス」を開始。すでに8000社以上が利用中という。そして今回、日本語版でのMTRサービスの提供を2022年4月25日から開始する。

ソフォス セールスエンジニアリング本部副本部長
兼 シニアセールスエンジニアの杉浦一洋氏

ユーザーは「対処後」の報告を受けるだけ
MTRサービスの特徴は次の3つだ。

ソフォスMTRサービスの3つの特徴

1つめは前述の通り、脅威を見つけた際に「脅威の中和化、根絶するまで実施する」こと。脅威を検知した都度、対応を協議し、ユーザー自身とソフォスが共同で対処するというオプションも選べるが、基本的にユーザー側は「このように対処しました」という報告を受けるだけで済む。

2つめは、ライセンス数の制限がないこと。1ライセンスから購入可能なため、中堅中小企業にも手の届くサービスになっている。

3つめは、一般的なSOCサービスで有償オプションとなっている「インシデント対応」が基本サービスに含まれている点だ。「多くのSOCサービスは、通知まで。まさにいま攻撃されている、持続的に標的にされていることが確認されたときに必要なインシデント対応もサービスに入っている」（杉浦氏）。