一度は却下されたセキュリティ運用の外注、その後採用に至った意外な転機とは？

EDRの運用負荷に悩む中小企業で、コスト面から導入が進まなかったセキュリティ運用のアウトソース。あることをきっかけに、状況が一変した。

[キーマンズネット]

　EDR（Endpoint Detection and Response）がエンドポイントセキュリティの中核を担う存在となっている。その一方で、運用負荷という課題もある。この問題を解消するのが、脅威の検知、監視、対応までをマネージドサービスとして提供するMDR（Managed Detection and Response）だ。大企業だけでなく、中堅・中小企業にも利用が広がりつつある。ある企業ではコストがボトルネックとなってMDRの導入が進まなかったが、あることがきっかけでその状況を一変させたという。

「お前の仕事だろ」と言われたIT担当者、外注を提案するも却下

　未知のマルウェアが次々と登場していることから、従来のパターンマッチング型EPP（Endpoint Protection Platform）では対応が困難な場面が増えている。その代替として、EDRを導入する企業が増加しているのは周知の通りだ。

　EDRはサーバやPCといったエンドポイントを常時監視し、不審な挙動を検知するとアラートを発報する。万が一感染が発生した場合には、隔離から駆除、原因調査、事後対応までを可能にするソリューションだ。侵入を防ぐことを主な目的とするEPPに対し、EDRは侵入された後の対応に強みを持つ。

　EDRにまつわる課題としてよく聞かれるのが、誤検知・過検知による膨大なアラートの数だ。チューニングの精度にもよるが、1日あたり数百件単位のアラートが発生するケースも珍しくなく、現場からはその対応に苦慮しているという声も聞かれる。

　EDRを導入していた中小企業が、最近MDRに切り替えたという事例があると聞き、話を聞きに行った。実はEDRを導入してから半年ほど経過した時に、1度取材をさせていただいていたことがあった。案の定アラートが山のように管理者に届いていたそうだ。専任のセキュリティ担当者が不在の中小企業ではまともにアラートの内容まで精査できず、大量のアラートがIT管理者に押し寄せ、対応が追い付かないカオスな状況が続いていた。

　そんな折、アラートの精査や対策の提案を支援するマネージドサービスであるMDRの存在を知り、契約したという。MDRを導入してから既に数カ月が経過したが、初期のチューニングに苦労しながらもアラートを劇的に減らすことに成功し、運用負担がほぼゼロになったと担当者は喜んでいた。

　本人いわく、自社の環境に合ったチューニングがうまく機能したことに加え、MDRの脅威インテリジェンスをうまく活用できたことで自社にとってセキュアな環境が維持できたという。日々の運用はほぼノータッチで、たまに通知されるアラートをチェックする程度で済んでいるらしい。費用はそれなりにかかったようだが、感染による事業停止のリスクの軽減や取引先からの信用失墜などを考えると、MDRの導入は最適な判断だったと担当者は胸を張る。

　うまく費用を捻出できたことでMDRを利用でき、担当者の負担は劇的に軽減された。そのきっかけとなったのが、経営者の代替わりだったらしい。いわゆる事業承継によって、息子が2代目として会社を引き継いだことがMDR導入のきっかけとなったそうだ。マルウェアの脅威と運用負担の大きさを新社長が理解し、スムーズにMDRの導入が決まったという。

　「前社長に打診した時は、それがお前の仕事だろ、って一蹴されたんですよね……」

　経営者の高齢化が進む今の日本において、事業承継は多くの企業で進みつつあるが、実はこれがIT部門にとっては既存環境を大きく変える千載一遇のチャンスなのかもしれない。DX推進やIT投資と事業承継との関係、なかなかに興味深いテーマだ。

---

読めば会社で話したくなる！　ITこぼれ話

　キーマンズネット取材班が発表会や企業取材などなどで見聞きした面白くて為になる話を紹介します。最新の業界動向や驚きの事例、仕事で役立つ豆知識に会議で話せる小ネタまで「読めば会社で話したくなる！」をテーマに記事を掲載。

---