MDRはManaged Detection and Responseの略であり、EDR(Endpoint Detection and Response)製品をマネージドサービスで提供したものをMDRと呼ぶことが多い。EDRは「エンドポイントで脅威を検知(Detection)して、対応(Response)を支援する」ことを主眼としており、近年導入が進んでいる。エンドポイントにおける脅威の動きを包括的に可視化し、ハッキング活動の検知・観察や記録、攻撃遮断などの応急措置を組織として行えるようにすることがEDRの主な目的であるが、そのためには検知内容の判断、ログの監視・解析、攻撃遮断の判断など一定のスキルが運用部門においても必要となるため、ユーザ単独でEDRを運用することが困難な場合がある。
MDRはそのようなユーザの課題を解決するためにマネージドサービスとして提供されておりユーザの日々のEDR運用をサポートし、脅威の検知、対応を正確かつ迅速に行うことを目的としている。サポート内容としては以下のような内容が提供されるケースが多い。
- 検知レポートの提供
- 週次、月次の運用レポートの提供
- マルウェアが疑われるファイルの解析
- インシデント対応時の初動対応や解析支援
MDRはEDR製品提供ベンダが自ら提供するものもあれば、マネージドサービスの提供ベンダがEDR製品を活用して自社の知見・ノウハウを活かしながら独自のサービスを提供しているものもある。特に中堅中小企業で専門のスキルを持った人材がいない、情報システム部門の人員が不足している、といった課題を持つユーザにおいてMDRサービスの導入・活用が進んでいる。
