マネージドID脅威検知・対応(Managed ITDR)とは、ID脅威の継続的な監視、検知、調査、対応を外部プロバイダーを通じて提供するものです。これは、自社でこれらの機能を構築・運用するのではなく、専任のアナリストチームとAI駆動型ツールを組み合わせることで実現されます。DIY ITDRでは、お客様のチームがツールを導入し、検知ロジックを調整し、対応プレイブックを構築し、24時間365日の体制を整える必要がありますが、マネージドITDRは、お客様のチームが監視とエスカレーションの権限を保持しつつ、その運用負担をプロバイダーに移行します。
ID脅威検知・対応が ID脅威検知・対応 何をカバーし、どのような脅威カテゴリに対応しているかについて、基礎的な概要を知るには、マネージドオプションを検討する前に、まずそちらからご確認ください。
マネージドITDRが適している組織
すべての組織が、ITDR機能をゼロから構築・運用するための内部リソースを持っているわけではありません。ITDRの構築には、スタック内のあらゆるID環境に対応する専用ツール、ID固有のロジックを構築・維持する検知エンジニア、IDベースの攻撃パターンを理解するアナリスト、そしてタイムゾーンをまたいで継続的なカバレッジを維持するための十分な人員が必要です。
マネージドITDRは、ID検知・対応のカバレッジの必要性を認識しているものの、以下の制約のいずれか、または複数に直面している組織に最も適しています。
- ID専門知識を持たない少人数のセキュリティチーム。 ほとんどのミッドマーケットのセキュリティチームは、大量の業務に追われるジェネラリストです。彼らはエンドポイントのアラート、クラウドセキュリティイベント、コンプライアンス要件、ベンダーとの関係を同時に処理しています。ID脅威検知を、独自のツール、検知ロジック、対応ワークフローを持つ独立した専門分野として追加するには、ほとんどのチームが持たない専任の人員を配置するか、それを提供するサービスを利用するかのいずれかが必要です。
- 人員増加に見合わない攻撃対象領域の拡大。 組織がSaaSアプリケーション、クラウド環境、自動化ツールを導入するにつれて、監視する必要のある人間およびマシンのIDの数は、セキュリティチームの成長よりも速く増加します。IDの攻撃対象領域と検知カバレッジの間のギャップは、積極的に埋められない限り時間とともに拡大し、マネージドITDRは、ミッドマーケットの組織が人員を増やすことなくこのギャップを埋める主要な方法の1つです。
- カバレッジまでの時間的プレッシャー。 ツール選定から検知チューニング、運用準備まで、社内でITDR機能を構築するには通常6~12ヶ月かかります。マネージドプロバイダーは、ツールがすでに構築され、検知ライブラリがすでに存在するため、数週間でID環境にカバレッジを拡張できます。
マネージドITDRプロバイダーの役割
マネージドITDRプロバイダーは、お客様に代わってID脅威検知・対応の運用サイクル全体を提供します。これには、攻撃者の技術の進化に合わせて更新されるID固有の検知ロジックライブラリに基づき、お客様のID環境、IDプロバイダー、クラウドIAM、SaaSアプリケーション、およびマシンIDソースを継続的に監視することが含まれます。
検知が発生すると、プロバイダーのチームは初期トリアージと調査を実施し、アラートをアカウントのアクセス履歴、行動ベースライン、関連する権限、および環境を横断する関連イベントと関連付けます。その結果は、お客様のチームに渡される生のアラートではなく、コンテキスト、深刻度評価、推奨される対応アクションを含む調査済みの所見です。
確認済みまたは信頼度の高い脅威に対しては、プロバイダーはIDプロバイダーとの連携を通じて直接封じ込めアクション(セッション失効、アカウントロックアウト、アクセスレビュー開始など)を実行するか、または決定のために完全な調査パッケージとともにお客様のチームにエスカレートします。プロバイダーとお客様のチーム間の権限の分担は事前に定義され、お客様の環境とリスク許容度に合わせて具体的に定める必要があります。
プロバイダーはまた、継続的なプログラム運用も担当します。これには、環境の進化に合わせて誤検知を減らすための検知ロジックの調整、新しいID攻撃パターンが出現した際のカバレッジの更新、ID脅威活動、カバレッジのギャップ、プログラムの健全性指標に関する定期的なレポート作成が含まれます。
マネージドITDR vs. 自社構築
正直な比較は、コスト、時間、専門知識、制御という4つの変数に集約されます。
ほとんどのミッドマーケットのシナリオでは、コスト面でマネージドが有利です。社内ITDRには、複数のID環境にわたるツールライセンス、ID固有のロジックを構築・維持するための検知エンジニアリング能力、および継続的なカバレッジに十分なアナリストの人員が必要です。マネージドプロバイダーはこれらのコストを顧客ベース全体で償却するため、独立して構築するコストのほんの一部でエンタープライズグレードの機能を利用できるようになります。
カバレッジまでの時間は、マネージドのアプローチが圧倒的に有利です。既存の検知ライブラリと運用インフラを持つプロバイダーは、数週間で新しい顧客環境にカバレッジを拡張できます。同等の社内機能を構築するには、ツールの調達、統合作業、検知開発、アナリストのオンボーディングが必要であり、これは数週間ではなく数ヶ月単位で測定されます。
専門知識の面では、専任のIDセキュリティエンジニアがいない組織にはマネージドサービスが有利です。クレデンシャルスタッフィング、パス・ザ・ハッシュ、SAMLゴールデンチケット攻撃、OAuthトークン悪用、サービスアカウントを介したラテラルムーブメントなどのIDベースの攻撃手法は、確実に検知するために特定の知識を必要とします。ID脅威に特化したプロバイダーは、その専門知識を継続的に維持し、顧客ベース全体に適用することで、単一組織の社内チームではめったに見られない幅広い攻撃パターンに触れることができます。
制御の面では、データレジデンシーに関する厳格な要件、IDテレメトリへのサードパーティアクセスを制限する規制上の義務、またはすべての検知および対応ツールを直接所有する必要があるセキュリティ体制を持つ組織には、自社構築が有利です。これらの制約は現実のものであり、構築か購入かの決定に直接考慮されるべきです。
ほとんどのミッドマーケット組織にとって、実用的な問題は、マネージドITDRが理論的に社内構築よりも優れているかどうかではありません。それは、組織がID攻撃対象領域がカバレッジを要求する期間内に、同等の機能を現実的に構築し、人員を配置できるかどうかです。
マネージドITDR vs. MSSP
マネージドセキュリティサービスプロバイダー(MSSP)は、多くのイベントタイプにわたる広範なセキュリティ監視を提供します。マネージドITDRとの違いは、深さと広さです。
IDプロバイダーのログを監視するMSSPは、異常な時間帯のログイン失敗や予期せぬ地域からのログインなど、明らかな異常を検出します。しかし、ほとんどのMSSPが提供しないのは、ID固有の攻撃パターンに対応する専用の検知ロジック、アカウント集団に合わせて調整された行動モデル、IDイベントをクラウドやSaaSのアクティビティに接続する環境横断的な相関分析、またはID侵害シナリオのために特別に設計された対応プレイブックです。
マネージドITDRは、広範なセキュリティ監視の代替ではなく、その中の専門的な機能です。既存のMSSPとの関係を持つ組織は、プロバイダーのIDカバレッジが本当に専用に構築されているのか、それともIDセキュリティとして位置づけられている一般的なログ監視なのかを評価すべきです。この違いは、ID固有のTTPカバレッジとIDアラートの平均調査時間を尋ねたときに明確に現れます。
マネージドITDRプロバイダーを選ぶ際のポイント
- ID環境カバレッジの広さ。 プロバイダーは、お客様が運用するすべてのIDシステムにわたる監視能力を実証すべきです。どの環境をネイティブにカバーしているか、または一般的なログ取り込みを通じてカバーしているかを尋ねてください。
- 検知ライブラリの特異性。 ID TTPs(戦術、技術、手順)に対応する専用の検知ロジックは、基本的な要件です。プロバイダーに、お客様のスタック内のID環境に対する検知カバレッジと、新しい技術が出現した際にそのライブラリがどのくらいの頻度で更新されるかを説明してもらいましょう。
- アラート量だけでなく、調査の質。 マネージドITDRの価値は、アラートのスループットよりも調査済みの所見にあります。調査結果がどのようなものか理解してください。アカウントの完全な行動コンテキスト、環境を横断する相関イベント、明確な推奨アクションが含まれていますか?それとも、リスクスコアを提示し、調査をお客様のチームに委ねるだけですか?
- 対応の統合と権限。 プロバイダーが直接実行できる対応アクションと、お客様の承認が必要なアクションを事前に明確にしてください。セッション失効やアカウントロックアウトは、ID侵害シナリオにおいて時間的制約があります。すべての封じ込めアクションに多段階の承認プロセスを必要とするプロバイダーの対応ワークフローは、まさに不適切なタイミングで摩擦を生じさせます。
- レポートとプログラムの可視性。 マネージドITDRプロバイダーがお客様に代わって何を見て、何を検知し、何を行っているかについて、明確な可視性を維持すべきです。ID脅威活動、カバレッジのギャップ、検知性能、誤検知率に関する定期的なレポートはオプションではありません。それは、サービスが契約通りに運用されていることを確認し、プログラムがどこで進化する必要があるかを特定する方法です。
- AIと人間アナリストの統合。 今日の最も効果的なマネージドITDRプロバイダーは、AI支援による大規模なトリアージと調査を活用し、人間のアナリストがエスカレーション、意思決定、プログラム管理を担当しています。プロバイダーがAIと人間の能力の間でどのように作業を分担しているか、そして何が完全に自動化されているかに対して、どのような人間の専門知識が実際にあなたの環境に適用されているかを理解してください。
エージェンティックSOCプラットフォームとマネージドITDR:第三の提供モデル
マネージドITDRを、自社構築とマネージドサービスへのアウトソーシングの選択肢として捉える従来の枠組みは、ますます不完全になっています。第三のカテゴリが登場しました。 エージェンティックSOCプラットフォーム これは、スタンドアロンのIDセキュリティサービスとしてではなく、より広範で統合されたセキュリティ運用機能の一部としてITDR機能を提供するものです。
この違いは、選択肢を評価する購入者にとって重要です。
専用のマネージドITDRサービスは、ID脅威に特化しています。深いID専門知識と専用の検知ロジックを提供しますが、より広範なセキュリティ運用とは別のレイヤーとして機能し、お客様のチームまたは別のSOC機能が脅威全体の状況と統合する必要があるID固有の所見を生成します。
エージェンティックSOCプラットフォームは、IDを、クラウド、SaaS、エンドポイント、アプリケーション、ID環境を同時に網羅するフルライフサイクルセキュリティ運用機能内の1つの検知対象として扱います。IDイベントは、単一の調査コンテキスト内でクラウドアクティビティ、エンドポイントの挙動、アプリケーションログと相関付けられます。これは、他のツールからのシグナルとの手動相関が必要な孤立したIDアラートとして表面化するのとは異なります。環境境界を越える多段階攻撃に対処するセキュリティリーダーにとって、この統合は攻撃を検知できるか見逃すかの違いとなります。
運用モデルも異なります。エージェンティックSOCプラットフォームは、特定のセキュリティタスクのために特別に構築されたAIエージェントを使用して、IDを含む環境全体で機械速度で検知、トリアージ、調査、対応を処理します。人間のアナリストは、優先順位付けされた所見を確認し、エスカレーションの決定を行い、判断を要する複雑な調査を処理します。その結果、従来の要員配置モデルでは対応できない規模で継続的なID脅威検知と対応が提供され、一般的なSOC機能と並行して個別のIDセキュリティサービスを運用することから生じるサイロ化された可視性の問題もありません。
クラウドセキュリティ監視、内部脅威検知、およびより広範なSOC機能と並行してID脅威検知・対応のカバレッジを必要とし、それを隣接する一連のサービスとしてではなく、統合されたプログラムとして運用したい組織にとって、ネイティブITDRカバレッジを備えたエージェンティックSOCプラットフォームは、専用のマネージドITDRサービスと直接比較検討する価値があります。
次にすべきこと
マネージドID脅威検知・対応は、すべての組織にとって適切なモデルではありません。社内でITDR機能を構築するためのリソース、専門知識、時間があるチームにとっては、制御の利点がコストを上回る可能性があります。一方、人員が少なく、カバレッジまでの時間的プレッシャーがある中で、ID攻撃対象領域の拡大に直面しているミッドマーケットのセキュリティチームにとっては、内部のIDセキュリティ専門知識を必要とせずに、継続的な監視、専用の検知、専門家による対応を提供するマネージドサービスが、真のカバレッジへのより迅速で実用的な道となることがよくあります。
AIを活用したマネージドSOCが貴社のIDセキュリティニーズに合致するかどうかを検討している場合、またはプロバイダーとの選択肢を検討したい場合は、 MDRパートナーを見つける ことで、その話し合いを始めることができます。
よくある質問
マネージドITDRと社内ITDRの違いは何ですか?
社内ITDRとは、お客様のセキュリティチームがID脅威に対するツール、検知ロジック、対応ワークフローを所有・運用することを意味します。マネージドITDRは、運用責任を外部プロバイダーに移行し、プロバイダーがお客様のID環境を継続的に監視し、調査済みの所見と対応アクションをお客様に代わって提供します。核となる機能は同じですが、違いは誰がそれを構築し運用するかです。
マネージドITDRはMSSPと同じですか?
いいえ、違います。MSSPは多くのイベントタイプにわたる広範なセキュリティ監視を提供し、IDイベントは多くのテレメトリソースの1つとして扱われます。マネージドITDRは、ID脅威に特化した専門サービスであり、ID攻撃パターンに対応する専用の検知ロジック、アカウント集団に合わせて調整された行動モデル、ID侵害シナリオのために設計された対応プレイブックを備えています。一部のMSSPはマネージドITDRを個別のサービスとして提供していますが、多くは提供していません。
マネージドITDRプロバイダーはどのようなID環境をカバーすべきですか?
少なくとも、主要なIDプロバイダー(Okta、Entra ID、Google Workspace、Active Directory)、クラウドIAM構成(AWS IAM、GCP IAM、Microsoft Entra ID)、およびサービスアカウント、APIキー、OAuthトークンを含むマシンIDソースをカバーすべきです。ビジネス上重要なシステムが主要なIDプロバイダーとは別に独自のID制御を管理するようになるにつれて、SaaSアプリケーションのIDカバレッジはますます重要になっています。
マネージドITDRプロバイダーはどのくらいの速さで私の環境にカバレッジを拡張できますか?
展開期間はプロバイダーと環境の複雑さによって異なりますが、既存のツールと検知インフラを持つマネージドプロバイダーは、同等の社内機能を構築するのに必要な数ヶ月ではなく、通常数週間で初期カバレッジに到達します。特定の環境への完全な検知チューニングにはさらに時間がかかり、一度限りの展開マイルストーンではなく、継続的なプロセスとして扱うべきです。
