現場が語る「EDRアラート疲れ」の実情 セキュリティ運用で一番の悩みは？

あらゆる企業がサイバー攻撃の標的となり得る現在、特に対応を緩めてはいけないのが「VPN」「エンドポイント」「クラウド」の3領域だ。このうち、エンドポイントを対象とする「EDR」とクラウドのセキュリティについての調査結果を紹介する。

[キーマンズネット]

　クラウド活用がエンタープライズITのスタンダードとなる中で、巧妙化・高度化するサイバー脅威に対し、企業の防御体制は果たして十分に機能しているのだろうか。とりわけEDR（Endpoint Detection and Response）では導入が進む一方で、「運用」の段階で課題に直面するケースも多く見られる。

　本稿では、2025年6月18日〜7月11日に実施したアンケート調査（回答数：216件）を基に、データや情報資産の中枢である「クラウドセキュリティ」と、侵入後の異常検知手段「EDR」に焦点を当て、企業の対策状況を見ていく（前編はこちら）。

続くクラウド脅威、最も苦慮する課題は「継続的対策」と「内部不正」

　クラウドセキュリティにおいて企業が直面している課題について、最も苦労している点を1位から3位まで挙げてもらったところ、最も多かったのは「継続的なセキュリティ対策が必要であること」（19.9％）だった。次いで「内部不正の防止」（14.4％）、「設定ミスによる情報漏えいの防止」（11.6％）、「サイバー攻撃の検知が難しいこと」（11.1％）が上位に挙がった（図1）。

クラウドをセキュアに利用するために最も苦労している点

　この結果を従業員規模別に見ると、従業員数1万人超の大企業では、「未利用アカウントの検出」や「複数のクラウドサービスにまたがる権限設定」など、従業員数の多さに起因する課題が目立った。一方で中堅・中小企業では、「クラウド環境の可視化が不十分であること」や「サイバー攻撃の検知が難しいこと」といった、クラウドの可視性や把握に関する課題が多く挙がっており、規模によって悩みの傾向が異なる。

　こうした課題に対して企業が実施しているセキュリティ対策について尋ねたところ、最も多かったのは「データのバックアップ」（43.5％）、次いで「ユーザーIDと権限の管理」（41.2％）、「アクセスログの管理」（33.8％）となった。いずれも内部不正や情報漏えいを防ぐための基本的な対策が中心であり、多くの企業がまずは足元のセキュリティ強化に取り組んでいる様子がうかがえる（図2）。

　注目すべきは、セキュリティ対策を「取っていない」と回答した企業の割合だ。従業員数1万人超の大企業では3％未満にとどまったのに対し、中堅・中小企業では約2割から4割に達し、対策の遅れが目立った。さらにこの傾向は、2024年7月の前回調査と比較しても約10ポイント悪化しており、企業規模による対応格差が一層広がっている実態が明らかとなった。

クラウドセキュリティ対策の実施状況

　クラウドのセキュリティを強化する手段として、セキュリティ対策ソリューションの導入が有効だとされている。今回、その導入状況を尋ねたところ、全体では「導入済み」が27.3％と、約3割にとどまった。中でも中小企業では導入率が1〜2割にとどまり、100人以下の企業では「導入予定はない」が55.6％に上るなど、ソリューション導入の遅れが顕著となっている（図3）。一方で、「検討中」または「導入予定」とする企業も一定数存在し、中堅・中小企業におけるセキュリティ対応は、今後段階的に進展していく可能性がある。

クラウドセキュリティ対策ソリューションの導入状況

EDRの“アラート疲れ”　管理負荷増大の課題にどう対応？

　さまざまな対策を講じたとしても、外部からの侵入を完全に防ぐことは難しい。そこで有効なのが、EDRだ。脅威の検知に有効だが、一方でどの程度の挙動を脅威と判断すべきなのか分かりにくい。大量のアラートのうち、本当に対応すべき脅威はごくわずかだ。さらに、EDRは24時間365日休みなくアラートを発するため、担当者の運用負荷が増大し、疲弊を招いている。今回の調査では、EDRの導入状況に加えて、この運用課題に対してどのように対処しているか尋ねた。

　まず、回答者の勤務先でEDRを導入しているかどうかを尋ねたところ、回答者の47.7％がEDRを「導入済み」と答えた（図4）。ただし、2024年10月に実施した調査では導入割合が57.1％だったため、ここにきて導入の勢いは一段落し、踊り場を迎えていると考えられる。従業員規模別に見ると、従業員数1001人以上の企業では66.7％が「導入済み」と回答し、1万人超の大企業では72.2％に達した。

EDRの導入状況

　その結果、「アラートのチューニングやカスタムルールの設計」が43.8％で最も多く、発生するアラートの絞り込みを図っていることが分かった。続いて「運用負荷の少ないEDR製品への乗り換え」（19.0％）、「MDR（Managed Detection and Response）サービスの活用」（17.1％）が続いた（図5）。

EDR運用における管理負荷増大にどのように対応しているか

　EDRの検知アラートを効率的に管理するには、専門知識や技術力のあるセキュリティ人材を一定数確保する必要がある。このため従業員数1万人を以上の企業では「運用担当者を増やす」（26.9％）や「アラートのチューニングやカスタムルールの設計」（50.0％）が従業員ごとに見た企業区分の中で最も多かった。

それでも“MDRを選ぶ基準”の1位が「運用負荷の軽減」ではない理由

　一方で、従業員数が少ない企業では、細かな対応が難しい場合が多い。実際、従業員数500人以下の中堅・中小企業では、「MDR（Managed Detection and Response）サービスの活用」を選択する割合が高い傾向にあった。MDRは専門家による外部サポートを中心に、脅威の検知やインシデント対応を代行するサービスであり、人手不足という課題を補う手段として広がりを見せている。

　では、企業はどのような基準でMDRサービスを選んでいるのか。MDR利用中または利用予定の回答者にサービス選定の重要ポイントを尋ねたところ、トップ3は「最新の脅威への対応力」（27.8％）、「24時間365日の監視・対応体制」、そして「自社環境との統合性」だった（図6）。これらはいずれもMDR導入において欠かせない要素と言える。

　一方で、「料金の安さ」（11.1％）や「対応の早さ」（5.6％）は、あまり重視されていない傾向にあった。

MDRサービスの選定基準（1位）

　経済産業省および独立行政法人情報処理推進機構（IPA）の「サイバーセキュリティ経営ガイドライン Ver 2.0」によれば、サイバー攻撃の発覚経緯の約半数は外部からの指摘によるものだ。つまり、多くの企業が自社の監視だけでは攻撃の被害に気付けていないということだ。そのため、24時間365日の体制で脅威を監視・検知し、ログを基に調査・分析、被害を確認した上で、迅速に対処・封じ込めを実行する一連の対応を専門知識・経験を持つセキュリティ人材が担うMDRサービスへのニーズが高まっていると考えられる。

　本稿では企業のクラウドセキュリティ対策の現状を調査し、EDRやMDRの導入・運用実態に触れた。今後も定期的に実態と最新トレンドを追い、変化を見ていく予定だ。

MDRサービスを導入する道筋は

　EDRのアラートに忙殺されており、MDRの導入を検討しようとした場合、何から始めればよいだろうか。

検討と要件定義

　まずは導入の必要性と要件の明確化だ。なぜMDRを導入するのかを曖昧なままにしておくと、導入までに時間がかかってしまうからだ。

　現在利用しているセキュリティツールや関連する人員、プロセスを評価して、どの部分がMDR導入によってメリットを享受できるのかを調査することでも目的がはっきりする。24時間365日の監視や分析、インシデント対応など自社に不足している対策もまとめる。

　その上で要件定義に進む。脅威ハンティングから始まり、監視範囲や検知能力、初動対応や復旧支援、事後の調査やフォレンジック、レポートなどMDRサービスが提供する項目は幅広い。この中から自社に必要な要件を取りまとめる。このとき自社のセキュリティソリューションとの互換性や機能の重複も確認しておく。

　ここまでを終えたら予算の策定だ。導入費用、月額費用、インシデント発生時の追加費用などについてMDRベンダーから情報を収集し、費用対効果について社内上層部にプレゼンする。

導入計画の策定と体制の構築

　計画にゴーが出た後は、PoC（概念実証）を実施する。問題がなければ導入スケジュールと監視対象の絞り込みを進め、テスト環境を構築する。

　次に、MDRベンダーと社内の人員の役割分担と責任を明確化する。インシデント発生時の連絡体制やエスカレーションの方法、意思決定プロセスも確立しておく。インシデントが発生したときに連絡体制などが実はできておらず、事態が悪化するという事例には事欠かない。なお、全ての運用をMDRベンダーに任せきりにすることはできない。社内の担当者とMDRベンダーが情報を共有する場を必ず作るべきだ。

サービスの導入と運用

　従業員に対してMDRの目的やメリット、運用体制について周知する。サイバー攻撃の前兆を従業員が発見することは珍しくないからだ。

　テスト環境からのフィードバックを受けて、本番環境の展開を開始する。実運用が始まったらアラートと誤検知について調査し、チューニングの必要性をベンダーと一緒に探る。

　運用が本格化した後は、MDRベンダーのレポートを放置するのではなく、自社のセキュリティ体制の弱点や改善点を探す目的で利用する。