マネージド型アイデンティティ脅威検知・対応(managed ITDR)とは、専任のアナリストチームとAIを活用したツールを組み合わせ、外部プロバイダーが継続的なアイデンティティ脅威の監視、検知、調査、対応を提供するサービスです。これらの機能を自社で構築・運用する代わりに、プロバイダーが運用を担います。DIY型ITDRでは、ツールの導入、検知ロジックのチューニング、対応プレイブックの整備、24時間365日の監視体制の確保が必要になります。一方、マネージドITDRでは、これらの運用負担をプロバイダーに委ねながらも、最終的な管理責任とエスカレーション判断は自社が担います。
アイデンティティ脅威検知・対応の対象範囲や脅威カテゴリの基本的な理解については、マネージド型の評価に進む前にそちらを参照してください。
マネージドITDRが適している組織
すべての組織が、ITDR機能をゼロから構築・運用するための内部リソースを備えているわけではありません。ITDRの構築には、自社のスタック内にあるすべてのアイデンティティ環境に対応する専用ツール、アイデンティティ固有の検知ロジックを構築・維持する検知エンジニア、アイデンティティベースの攻撃パターンを理解するアナリスト、さらにタイムゾーンをまたいで継続的なカバレッジを維持するための十分な人員体制が必要です。
マネージドITDRは、アイデンティティ検知・対応のカバレッジが必要であることを認識しているものの、以下の制約のいずれか、または複数に直面している組織に特に適しています。
- 専任のアイデンティティ専門知識を持たない少人数のセキュリティチーム。 多くのミッドマーケット企業のセキュリティチームは、大量の業務に追われながら、幅広い領域を担当するジェネラリストです。エンドポイントアラート、クラウドセキュリティイベント、コンプライアンス要件、ベンダーとの関係管理を同時に対応しています。アイデンティティ脅威検知を、専用ツール、検知ロジック、対応ワークフローを備えた独立した領域として追加するには、多くのチームにはない専任人員を確保するか、それを提供するサービスを利用する必要があります。
- 人員増加に比例しない攻撃対象領域の拡大。 組織がSaaSアプリケーション、クラウド環境、自動化ツールを導入するにつれて、監視すべき人間およびマシンのアイデンティティ数は、セキュリティチームの拡大ペースを上回って増加します。アイデンティティ攻撃対象領域と検知カバレッジのギャップは、積極的に解消しない限り時間とともに拡大します。マネージドITDRは、ミッドマーケット企業が人員を増やすことなくこのギャップを埋めるための主要な方法の1つです。
- カバレッジ確保までの時間的プレッシャー。 ITDR機能を社内で構築する場合、ツール選定から検知チューニング、運用準備までに通常6〜12か月かかります。一方、マネージドプロバイダーは、ツールがすでに構築され、検知ライブラリもすでに存在しているため、数週間でアイデンティティ環境にカバレッジを拡張できます。
マネージドITDRプロバイダーの役割
マネージドITDRプロバイダーは、お客様に代わってアイデンティティ脅威検知・対応の運用サイクル全体を提供します。これには、攻撃手法の進化に合わせて更新されるアイデンティティ固有の検知ロジックライブラリを活用し、お客様のアイデンティティ環境、アイデンティティプロバイダー、クラウドIAM、SaaSアプリケーション、およびマシンアイデンティティソースを継続的に監視することが含まれます。
検知が発生すると、プロバイダーのチームは初期トリアージおよび調査を実施し、アラートをアカウントのアクセス履歴、ビヘイビアモデル、関連する権限、および環境をまたいだ関連イベントと相関分析します。提供されるのは、お客様のチームへ引き渡される生のアラートではなく、コンテキスト、重大度評価、および推奨対応アクションを含む調査済みの検知結果です。
確認済みまたは高い確度を持つ脅威に対しては、プロバイダーはアイデンティティプロバイダーとのインテグレーションを通じて、封じ込め対応(セッションの失効、アカウントのロックアウト、アクセスレビューの開始など)を直接実行するか、または意思決定のための完全な調査パッケージを添えてお客様のチームへエスカレーションします。プロバイダーとお客様のチームとの権限分担は事前に定義され、お客様の環境およびリスク許容度に応じて具体的に定める必要があります。
また、プロバイダーは継続的な運用も担います。これには、環境の変化に応じて誤検知を削減するための検知ロジックの調整、新たなアイデンティティ攻撃パターンの出現に合わせたカバレッジの更新、さらにアイデンティティ脅威の活動状況、カバレッジギャップ、および運用状況を示す指標に関する定期的なレポート作成が含まれます。
マネージドITDR vs. 自社構築
率直に比較すると、判断軸はコスト、時間、専門性、統制の4つに集約されます。
ほとんどのミッドマーケット企業では、コスト面でマネージドが有利です。社内ITDRには、複数のアイデンティティ環境に対応するツールライセンス、アイデンティティ固有のロジックを構築・維持するための検知エンジニアリング能力、そして継続的なカバレッジを確保するのに十分なアナリスト人員が必要です。マネージドプロバイダーはこれらのコストを顧客全体で分散できるため、独自に構築する場合の数分の一のコストで、エンタープライズグレードの機能を利用できるようにします。
カバレッジ確保までの時間でも、マネージドアプローチが大きく有利です。既存の検知ライブラリと運用インフラを持つプロバイダーであれば、数週間で新たな顧客環境にカバレッジを拡張できます。同等の社内機能を構築するには、ツール調達、インテグレーション作業、検知開発、アナリストのオンボーディングが必要であり、数週間ではなく数か月単位の期間を要します。
専門性の面では、専任のアイデンティティセキュリティエンジニアがいない組織にとって、マネージドサービスが有利です。クレデンシャルスタッフィング、Pass-the-Hash、SAML Golden Ticket攻撃、OAuthトークンの悪用、サービスアカウントを介したラテラルムーブメントなどのアイデンティティベースの攻撃手法を確実に検知するには、専門的な知識が必要です。アイデンティティ脅威を専門とするプロバイダーは、その専門知識を継続的に維持し、顧客全体に適用しています。そのため、単一組織の社内チームではまれにしか遭遇しない幅広い攻撃パターンにも対応できます。
統制の面では、データレジデンシーに関する厳格な要件、アイデンティティテレメトリへのサードパーティアクセスを制限する規制上の義務、またはすべての検知・対応ツールを直接所有する必要があるセキュリティ体制を持つ組織では、自社構築が有利です。これらの制約は現実的なものであり、構築か購入かを判断する際に直接考慮すべき要素です。
ほとんどのミッドマーケット企業にとって実務上の論点は、マネージドITDRが理論上、社内構築より優れているかどうかではありません。重要なのは、アイデンティティ攻撃対象領域に対してカバレッジが必要とされる期間内に、同等の機能を現実的に構築し、人員体制を整えられるかどうかです。
マネージドITDR vs. MSSP
マネージドセキュリティサービスプロバイダー(MSSP)は、多様なイベントタイプにまたがる広範なセキュリティ監視を提供します。マネージドITDRとの違いは、専門性の深さと監視範囲の広さにあります。
アイデンティティプロバイダーのログを監視するMSSPは、通常とは異なる時間帯のログイン失敗や、想定外の地域からのログインなど、明らかな異常を検出します。しかし、ほとんどのMSSPが提供しないのは、アイデンティティ固有の攻撃パターンに対応する専用の検知ロジック、アカウント群に合わせて調整されたビヘイビアモデル、アイデンティティイベントをクラウドやSaaSのアクティビティと結び付ける環境横断的な相関分析、またはアイデンティティ侵害シナリオに特化して設計された対応プレイブックです。
マネージドITDRは、広範なセキュリティ監視を代替するものではなく、その中の専門機能です。既存のMSSPを利用している組織は、プロバイダーのアイデンティティカバレッジが真に専用設計されたものなのか、それとも一般的なログ監視をアイデンティティセキュリティとして位置付けているだけなのかを評価する必要があります。この違いは、アイデンティティ固有のTTPカバレッジと、アイデンティティアラートの平均調査時間について確認すると明確に表れます。
マネージドITDRプロバイダーを選ぶ際のポイント
- アイデンティティ環境のカバレッジ範囲。 プロバイダーは、お客様が運用するすべてのアイデンティティシステムに対する監視能力を実証できる必要があります。どの環境をネイティブにサポートしているのか、またどの環境を汎用的なログ取り込みによってカバーしているのかを確認しましょう。
- 検知ライブラリの専門性。 アイデンティティ関連のTTP(戦術・技術・手順)に対応した専用の検知ロジックは必須要件です。お客様のスタック内のアイデンティティ環境に対してどのような検知カバレッジを提供しているのか、また新たな攻撃手法の出現に応じてどの程度の頻度でライブラリを更新しているのかをプロバイダーに説明してもらいましょう。
- アラート量だけでなく調査品質も評価する。 マネージドITDRの価値は、アラート処理件数よりも調査済みの検知結果にあります。調査結果に何が含まれているのかを確認してください。アカウントのビヘイビアモデルを含む詳細なコンテキスト、環境をまたいで相関付けられたイベント、そして明確な推奨対応が提示されているでしょうか。それとも、リスクスコアのみが提示され、調査そのものはお客様のチームへ委ねられているでしょうか。
- 対応機能のインテグレーションと権限範囲。 プロバイダーが直接実行できる対応と、お客様の承認が必要な対応を事前に明確化しておきましょう。セッションの失効やアカウントロックアウトは、アイデンティティ侵害のシナリオにおいて時間との勝負になります。すべての封じ込め対応に対して複数段階の承認プロセスを必要とするプロバイダーは、最も迅速な対応が求められる場面で運用上の遅延を生じさせます。
- レポートと運用状況の可視性。 マネージドITDRプロバイダーが、お客様に代わって何を監視し、何を検知し、どのような対応を実施しているのかを明確に把握できる必要があります。アイデンティティ脅威の活動状況、カバレッジギャップ、検知性能、誤検知率に関する定期的なレポートは不可欠です。これにより、サービスが契約内容どおりに運用されていることを確認し、運用プログラムの改善が必要な領域を把握できます。
- AIと人間のアナリストの連携。 現在、最も効果的なマネージドITDRプロバイダーは、AIを活用した大規模なトリアージと調査を行いながら、人間のアナリストがエスカレーション、意思決定、および運用管理を担当しています。AIと人間がどのように役割分担しているのか、また何が完全に自動化され、どの領域に人間の専門知識が適用されているのかを理解することが重要です。
エージェンティックSOCプラットフォームとマネージドITDR:第三の提供モデル
マネージドITDRを、自社構築とマネージドサービスへのアウトソーシングの選択肢として捉える従来の枠組みは、ますます不完全になっています。第三のカテゴリが登場しました。エージェンティックSOCプラットフォームは、スタンドアロンのIDセキュリティサービスとしてではなく、より広範で統合されたセキュリティ運用機能の一部としてITDR機能を提供するものです。
この違いは、選択肢を評価する購入者にとって重要です。
専用のマネージドITDRサービスは、ID脅威に特化しています。深いID専門知識と専用の検知ロジックを提供しますが、より広範なセキュリティ運用とは別のレイヤーとして機能し、お客様のチームまたは別のSOC機能が脅威全体の状況と統合する必要があるID固有の所見を生成します。
エージェンティックSOCプラットフォームは、IDを、クラウド、SaaS、エンドポイント、アプリケーション、ID環境を同時に網羅するフルライフサイクルセキュリティ運用機能内の1つの検知対象として扱います。IDイベントは、単一の調査コンテキスト内でクラウドアクティビティ、エンドポイントの挙動、アプリケーションログと相関付けられます。これは、他のツールからのシグナルとの手動相関が必要な孤立したIDアラートとして表面化するのとは異なります。環境境界を越える多段階攻撃に対処するセキュリティリーダーにとって、この統合は攻撃を検知できるか見逃すかの違いとなります。
運用モデルも異なります。エージェンティックSOCプラットフォームは、特定のセキュリティタスクのために特別に構築されたAIエージェントを使用して、IDを含む環境全体で機械速度で検知、トリアージ、調査、対応を処理します。人間のアナリストは、優先順位付けされた所見を確認し、エスカレーションの決定を行い、判断を要する複雑な調査を処理します。その結果、従来の要員配置モデルでは対応できない規模で継続的なID脅威検知と対応が提供され、一般的なSOC機能と並行して個別のIDセキュリティサービスを運用することから生じるサイロ化された可視性の問題もありません。
クラウドセキュリティ監視、内部脅威検知、およびより広範なSOC機能と並行してID脅威検知・対応のカバレッジを必要とし、それを隣接する一連のサービスとしてではなく、統合されたプログラムとして運用したい組織にとって、ネイティブITDRカバレッジを備えたエージェンティックSOCプラットフォームは、専用のマネージドITDRサービスと直接比較検討する価値があります。
次のステップ
マネージド型アイデンティティ脅威検知・対応は、すべての組織に最適なモデルとは限りません。社内でITDR機能を構築するためのリソース、専門性、時間があるチームでは、統制面の利点がコストを上回る可能性があります。一方、少人数体制でカバレッジ確保までの時間的プレッシャーを抱えながら、アイデンティティ攻撃対象領域の拡大に直面しているミッドマーケット企業のセキュリティチームにとっては、社内にアイデンティティセキュリティの専門知識がなくても、継続的な監視、専用設計の検知、専門家による対応を提供できるマネージドサービスが、実効性のあるカバレッジをより迅速かつ現実的に実現する手段となることが多くあります。
AIを活用したマネージドSOCが貴社のアイデンティティセキュリティ要件に適しているかを評価している場合、またはプロバイダーとの選択肢を検討したい場合は、MDRパートナーを探し、その検討を始めることができます。
よくある質問(FAQ)
マネージドITDRと社内ITDRの違いは何ですか?
社内ITDRとは、アイデンティティ脅威に対するツール、検知ロジック、対応ワークフローを、自社のセキュリティチームが構築・運用することを指します。一方、マネージドITDRでは、運用上の責任を外部プロバイダーに委ね、プロバイダーがお客様のアイデンティティ環境を継続的に監視し、調査済みの検知結果と対応アクションを提供します。中核となる機能は同じですが、違いは誰がその機能を構築・運用するかにあります。
マネージドITDRはMSSPと同じですか?
いいえ。MSSPは、多様なイベントタイプにまたがる広範なセキュリティ監視を提供し、アイデンティティイベントは数あるテレメトリソースの一つとして扱われます。一方、マネージドITDRはアイデンティティ脅威に特化した専門サービスであり、アイデンティティ攻撃パターン向けに設計された専用の検知ロジック、アカウント群に合わせて調整されたビヘイビアモデル、そしてアイデンティティ侵害シナリオ向けに設計された対応プレイブックを備えています。一部のMSSPはマネージドITDRを独立したサービスとして提供していますが、多くは提供していません。
マネージドITDRプロバイダーはどのようなアイデンティティ環境をカバーすべきですか?
少なくとも、主要なアイデンティティプロバイダー(Okta、Entra ID、Google Workspace、Active Directory)、クラウドIAM構成(AWS IAM、GCP IAM、Microsoft Entra ID)、およびサービスアカウント、APIキー、OAuthトークンを含むマシンアイデンティティソースをカバーしている必要があります。また、ビジネス上重要なシステムの多くが、主要なアイデンティティプロバイダーとは別に独自のアイデンティティ管理を行うようになっているため、SaaSアプリケーションにおけるアイデンティティカバレッジの重要性も高まっています。
マネージドITDRプロバイダーはどのくらいの期間で自社環境のカバレッジを提供できますか?
導入期間はプロバイダーや環境の複雑さによって異なりますが、既存のツールと検知基盤を備えたマネージドプロバイダーであれば、一般的に数か月ではなく数週間で初期カバレッジを提供できます。一方で、環境に最適化された完全な検知チューニングにはさらに時間が必要です。そのため、これは一度限りの導入作業ではなく、継続的に改善していくプロセスとして捉えるべきです。



