マネージドセキュリティサービスの対象範囲と、適切なモデルの選び方

主な洞察

  • MDRサービスを利用している組織では、社内チームと比較してインシデントの封じ込めが73%速いことが報告されており(IBM 2025)、これにより1件あたりの復旧コストを数百万ドル規模で削減できている。
  • マネージドセキュリティ市場は、境界監視の段階を超え、MDR、SOC-as-a-Service、そしてエージェント型AIを活用した運用へと成熟しており、すでに39%の組織がセキュリティ運用にエージェント型AIを導入している(Omdia 2025)。
  • 基本的なマネージドセキュリティサービスの月額料金は1,000ドルから5,000ドル、アクティブ対応を含む包括的なMDRサービスの月額料金は10,000ドルから20,000ドルです。これに対し、同等のSOCを社内に構築する場合、年間50万ドルから100万ドル以上かかることが業界の推計で示されています。

現代の企業の攻撃対象領域は、オンプレミスインフラ、マルチクラウド環境、ID管理システム、SaaSアプリケーション、そして増加の一途をたどる管理対象外のデバイスにまで及んでいます。これらを保護するには、24時間365日の監視、行動ベースの脅威検知、そして積極的なインシデント対応能力が必要ですが、多くの組織では社内でこれらの人員を確保したり、維持したりすることが困難です。マネージドセキュリティサービスプロバイダーは、まさにそのギャップを埋めるために存在しています。

このページでは、マネージド・セキュリティ・サービスとは何か、MSSP、MDRプロバイダー、SOC-as-a-Serviceの各モデルの違い、これらのサービスが実際に監視・提供する内容、プロバイダーの評価方法、およびコンプライアンス要件がサービスの期待値にどのような影響を与えているかについて解説します。本記事は、マネージド・セキュリティ・サービスの選択肢を検討しているセキュリティ責任者、SOC実務者、およびIT意思決定者を対象としています。

数字で見るマネージドセキュリティ

マネージドセキュリティの導入メリットは数値で実証可能です。以下の数値は、脅威の状況、従業員、コンプライアンス環境に関する、実名で公表され、公的に検証可能な調査に基づいており、導入を後押しする運用面および財務面の現実を反映しています。

メートル ソース
世界平均のデータ漏洩による損害額 1件あたり488万ドル IBM「データ侵害によるコスト 2025」
マルウェアを使用せずに実行される攻撃 侵入の79%~81% CrowdStrike グローバル脅威レポート 2025
サイバーセキュリティ分野の未充足求人 350万 ISC2 サイバーセキュリティ人材調査 2024
セキュリティ分野でエージェント型AIを導入する組織 39%で、さらに増加傾向にある Omdia 2025(有料記事)
マネージドセキュリティ市場の規模(2030年予測) 394億7000万ドルから668億3000万ドルに増加 MarketsandMarkets 2025

これらの数値は、マネージド・セキュリティ・サービスが解決を目指している構造的な課題、サービス料金をはるかに上回る侵害によるコスト、数時間ではなく数ヶ月単位で計測される検知までの時間、多くの組織にとって社内での体制構築を非現実的なものにする人材不足、そしてほとんどのチームが依存しているツールの進化を意図的に凌駕している攻撃手法を浮き彫りにしています。

マネージド・セキュリティ・サービス・プロバイダー(MSSP)とは何ですか?

マネージド・セキュリティ・サービス・プロバイダー(MSSP)とは、企業のITインフラ、ネットワーク、およびシステムに対して、セキュリティ監視、検知、管理のアウトソーシングサービスを提供する第三者機関のことです。MSSPは、アナリストが24時間体制で常駐する専用のセキュリティオペレーションセンターを運営しており、通常であれば社内で人員、技術、運用インフラに多額の投資を必要とするような、継続的な可視化と脅威への対応を提供します。

MSSPは、ほとんどの組織が単独では解決できない2つの複合的な課題への対応策として登場しました。

  • 世界的な人材不足。世界中で350万件のサイバーセキュリティ関連の求人が埋まっていない(ISC2 2024)ため、ほとんどの組織にとって、同等の社内体制を構築し維持することは、現実的に不可能である。
  • 攻撃の手口はますます巧妙化しています。現代の攻撃では、全侵入事例の79%~81%において、従来のシグネチャベースの防御策を迂回しており(CrowdStrike 2025)、静的なルールでは実現できない継続的な行動分析が求められています。

MSSPは、専門知識やツールのコストを顧客基盤全体で分散させることで、これら両方の課題を解決し、中堅企業や大企業が、そうでなければ利用できないような脅威インテリジェンスチーム、検知エンジニア、インシデント対応チームを活用できるようにします。

コスト比較を行うことで、自社構築と外部導入の比較がより明確になります。社内にセキュリティオペレーションセンターを構築するには、以下の年間コストが必要となります。

  • エンタープライズ向けSIEM、SOAR、およびXDRプラットフォームには50万ドルから100万ドル。
  • 8~10名のアナリストからなる24時間365日体制のチームの人件費として、150万ドルから250万ドル。
  • 研修、資格取得、および離職に伴う採用にかかる追加の経費が30%から40%発生する。

マネージドセキュリティサービスは、規模の経済とインフラの共有により、わずかなコストで同等の、あるいはそれ以上の機能を提供します。

主な機能:MSSPが監視・提供するサービス

MSSPは、セキュリティスタック全体にわたる継続的な監視と管理を提供します。主なサービス機能は以下の通りです。

より高度なプロバイダーは、脅威ハンティング、フォレンジック調査、およびインシデントの積極的な封じ込め機能を提供しています。監視の範囲(ネットワークのみ、エンドポイントを含む、クラウドまで拡張、またはIDを認識する)は、プロバイダーやサービスレベルによって異なります。カバー範囲は、評価において最も重要な基準です。

MSSP、MDR、SOC:主な違い

MSSPは監視とアラート通知を行います。MDRプロバイダーは脅威の検知と封じ込めを行います。SOC-as-a-Serviceはセキュリティ運用機能全体を外部委託するものです。多くのプロバイダーがこれらを同義語のように扱っていますが、実際には互換性のある用語ではありません。各モデルによって、対応範囲、対応権限、脅威ハンティングの深度、コンプライアンス報告能力には大きな違いがあります。


MSSPは
基盤となる層を担っています。MSSPは、一元化されたセキュリティオペレーションセンターを通じて24時間365日の監視とアラート提供を行い、ログの収集、相関分析、および初期段階での脅威の特定に重点を置いています。インシデントが確認された場合、MSSPは通常、調査と是正措置のためにアラートを顧客の社内チームに転送します。このモデルは、継続的な可視性を必要としつつも、社内の対応能力を維持したい組織に適しています。

MDRが発展した背景には、監視だけでは攻撃を阻止できないという現実があります。MDRプロバイダーは、確認された脅威を検証し、インシデントを調査して封じ込めを行います。その際、クライアントの承認を待たずに、ホストを隔離したり、侵害されたアカウントを無効化したり、悪意のあるトラフィックをブロックしたりすることがよくあります。MDRサービスでは、行動分析や脅威インテリジェンスを活用し、シグネチャベースの防御を迂回する攻撃者の手法を検知します。これには、 信頼されたシステムツールを悪用して検知を回避する「リビング・オフ・ザ・ランド(LOL)攻撃」、IDの悪用、および横方向の移動などが含まれます。

アラートの転送は、攻撃の封じ込めではありません。攻撃の拡散時間が数時間から数分に短縮される中、基本的なMSSPによる監視と、能動的なMDRによる封じ込めとの間の対応能力の格差は、インシデントを封じ込められるか、それとも攻撃を許してしまうかの分かれ目となっています。

マネージドセキュリティサービスがどのように機能するか

マネージドセキュリティは継続的なサイクルとして機能します。クライアント環境全体からテレメトリデータが収集され、行動モデルが不審なパターンを検知し、AIによるトリアージがノイズを除去して真のリスクを優先順位付けします。その後、アナリストが確認された脅威を調査し、対応措置によって発生中のインシデントを封じ込めます。このサイクルは24時間365日稼働し、社内運用を制約する人員不足の問題はありません。

現代のマネージドセキュリティプロバイダーは、企業全体からテレメトリデータを収集する技術スタックを導入しています。その中核となるコンポーネントには、以下のものが含まれます。

  • ログの集約と相関分析を行うSIEMプラットフォーム。
  • ワークフローの自動化と対応の調整を行うSOARツール。
  • エンドポイント、ネットワーク、クラウド環境、およびID管理システムを横断した統合脅威検知を実現するXDRソリューション
  • エンドポイント保護エージェントとクラウドワークロードセンサーが、検知パイプラインに継続的なテレメトリデータを送信しています。

機械学習モデルはこれらの入力を分析し、異常を検知した上で、脅威の深刻度やビジネスへの影響度に基づいてアラートをランク付けします。その結果、従来のルールベースのツールと比較して、誤検知率が著しく低くなります。

アナリストは、増大する複雑さに対応するため、階層的な組織体制で業務を行っています。

  • レベル1は、初期のトリアージとアラート処理を担当します。
  • レベル2では 、より詳細な調査とインシデント分析を行います
  • レベル3では 、複雑なインシデント対応、脅威ハンティング、および戦略的なセキュリティ強化を担当しています

重大なインシデントが発生した場合、専任のインシデント対応チームが直ちに動員され、被害が拡大する前に脅威を封じ込めます。

反応型セキュリティから予測型セキュリティへの移行

AIを活用したマネージド検出サービスにより、検知にかかる時間が数ヶ月から数時間に短縮されました。従来のセキュリティ運用では、侵害の特定に平均181日を要していました(IBM 2025)。主要なMDRプロバイダーは、顧客基盤全体で精度を向上させる継続的学習アルゴリズムを活用し、既知の攻撃パターンを数時間あるいは数分で検知しています。

この圧縮の背景にある仕組みは、プロバイダー規模で稼働する行動分析です。AIはプロバイダー環境全体から毎日収集される数兆件ものシグナルを処理し、脅威がインシデントとして顕在化する前に特定します。行動モデルと脅威インテリジェンスにより攻撃者の行動を予測し、重要な資産が侵害される前に攻撃の連鎖を遮断します。

これは単なる微々たる改善ではありません。181日もの潜伏期間があれば、攻撃者は数か月もの時間をかけてシステムへの定着を図り、データを盗み出すことができます。数時間で検知できれば、攻撃者が目的を達成する前にその機会を封じることができます。

既存インフラとの統合

APIファーストのアーキテクチャにより、マネージドセキュリティプロバイダーは、カスタム開発を行うことなく、既存のSIEMプラットフォーム、ID管理システム、エンドポイントツール、およびITSMプラットフォームと連携することができます。ハイブリッド展開のオプションには、以下のものがあります。

  • オンプレミス環境またはハイブリッド環境向けの仮想アプライアンス。
  • クラウドネイティブアーキテクチャ向けのクラウドホスト型プラットフォーム。
  • 特定のアーキテクチャやデータ保管要件に合わせて柔軟に対応できるコンテナ型サービス。

マネージドセキュリティプロバイダーは、AWS、Azure、Google Cloudの各プラットフォームにおいて認定された専門知識を有しており、プラットフォーム固有の機能を活用したクラウドネイティブなセキュリティツールを導入すると同時に、一元化された管理コンソールを通じて統合的な可視性を維持しています。統合モデルによって、プロバイダーが完全な運用カバレッジを達成するまでのスピードや、移行期間中のカバレッジのギャップがどのようになるかが決まります。

マネージドセキュリティサービスの種類

MSSP、MDR、SOC-as-a-Serviceに加え、現在では3つの専門サービスカテゴリーが、汎用プロバイダーが見落としている攻撃対象領域に対応しています。

マネージドSIEMサービスは、SIEMプラットフォームの導入、設定、チューニング、保守に加え、社内チームにとって負担の大きいログ管理や相関分析の業務を代行します。マネージドXDR(Extended Detection and Response)は、エンドポイント、ネットワーク、クラウドワークロード、ID管理システムにわたるセキュリティテレメトリを統合し、単一の領域に特化したツールでは検知できない多段階の攻撃キャンペーンを明らかにします。

新興サービス分野

マネージド・アイデンティティ脅威検知・対応(ITDR)は、情報漏洩の40%がIDの不正利用に関連しているという現実に対応するものです(Verizon DBIR 2024)。これらのサービスは、Active Directory、Azure AD、その他のIDプラットフォームを監視し、 資格情報の盗難、権限の昇格、およびIDの悪用を示唆する横方向の移動の兆候を検知します。IDを標的とした攻撃は、その性質上、境界防御を迂回します。マネージドITDRは、境界防御に重点を置くプロバイダーが見落としている可視性のギャップを埋めます。

AIを活用した自律型SOCサービスは、最新のサービス層です。これらのプラットフォームは、アラートの調査、フォレンジック証拠の収集、根本原因の特定、および対応措置の実行を、人的介入を最小限に抑えて行います。39%の組織がセキュリティ運用向けにエージェント型AIの導入を開始しており(Omdia 2025)、2026年にかけてその導入が急速に加速すると予想されています。

マネージド・クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)は 、セキュリティのベストプラクティス、コンプライアンス・フレームワーク、および組織のポリシーに基づいて、クラウド環境を継続的に 評価します。自動化された是正措置により、一般的な設定ミスは即座に修正されます。複雑な問題に対しては、詳細な是正ガイダンスが提供されます。その結果、社内に高度なクラウドセキュリティの専門知識がなくても、クラウドガバナンスを実現できます。

運用管理型セキュリティサービスの実践

中小企業は通常、基本的なマネージドセキュリティサービスに月額1,000ドルから5,000ドルを投資しています。エンタープライズ向けパッケージの月額費用は5,000ドルから20,000ドルの範囲です。いずれも、以前は1,000万ドル規模の予算が必要だったセキュリティ機能を利用できるようになっています。

費用便益分析フレームワーク

マネージドセキュリティの価値を定量化するには、単なるコスト比較を超えた分析が必要です。効果的な社内SOCを構築するには、3つのカテゴリーにわたる資本投資が必要となります。

技術投資:

  • エンタープライズ向けSIEM、SOAR、およびXDRプラットフォームには、年間50万ドルから100万ドルを予算として計上しています。
  • 3年から5年ごとに大規模なプラットフォームのアップグレードが行われ、その結果、予定外の費用が数百万ドル規模で発生することが多い。

人件費:

  • アナリスト8~10名からなる、24時間365日体制の基本チームの場合、年間150万ドルから250万ドル。
  • 研修、資格取得、および離職に伴う採用費用として、さらに30%から40%が追加されます。
  • アラート疲労やアナリストの燃え尽き症候群を背景に、多くのSOCでは年間平均離職率が25%を超える可能性がある。

運用コスト:

  • 脅威インテリジェンスの定期購読およびインフラの保守。
  • コアプラットフォームの予算枠外で積み上がる技術更新サイクル。
  • あらゆる要素を考慮すると、年間総費用はすぐに300万ドルを超えることになる。

マネージド・セキュリティ・サービスは、明確なサービスレベルと透明性のある価格設定により、予測可能な運用コストを実現します。総所有コスト(TCO)の比較では、通常、マネージド・サービスの方が同等の、あるいはそれ以上の保護レベルを提供しながら、総コストを40%から60%削減できることが示されています。さらに、実績があり、深い専門知識と、最先端の防御体制を維持するための十分な資金力を備えたプロバイダーにリスクを転嫁できるという利点もあります(IBM 2025)。

マネージドセキュリティによる脅威の検知と防止

攻撃の79%~81%はマルウェアを使用せずに行われています(CrowdStrike 2025 Global Threat Report)。攻撃者は、検知を回避するために正規のツールや盗用された認証情報を使用します。シグネチャベースの対策では、こうした攻撃を捕捉することはできません。一方、日々数十億件ものイベントを対象に動作する振る舞い分析であれば、捕捉が可能です。

マネージドセキュリティプロバイダーは、社内チームが見逃してしまう脅威を検知します。これは、彼らがより多くの労力を費やしているからではなく、その規模の大きさ、行動モデルの分析、そして顧客基盤全体から集約された継続的な脅威インテリジェンスによるものです。

現代の脅威検知におけるAIの役割

機械学習モデルは、2つの相互に補完し合うアプローチを通じて、検出精度を向上させます。

  • 教師あり学習は、ラベル付けされた攻撃データを用いて学習を行い、プロバイダーの全顧客基盤において、既知の脅威パターンをより高い精度で認識します。
  • 教師なし学習は、事前の知識なしに異常を検知し、シグネチャライブラリではカバーされていないzero-day や新たな攻撃パターンを発見します。

ある組織で特定された脅威は、即座に顧客ネットワーク全体の保護体制を強化します。誤検知の削減は、運用面での直接的な成果です。AIを活用した相関分析エンジンが、コンテキスト、ユーザーの行動、脅威インテリジェンスを分析し、アラートの信頼度を評価します。明らかな誤検知は自動的に除外され、信頼度の高い脅威は上位の担当者にエスカレーションされます。これにより、アナリストはアラートの処理に追われることなく、判断力を要する複雑な調査に集中できるようになります。

特定の脅威ベクトルへの対応

現代の攻撃は、主に3つの経路を通じて行われています。

ランサムウェアは依然として主要な脅威カテゴリーです。ランサムウェア・アズ・ア・サービス(RaaS)プラットフォームの登場により、複数の攻撃者グループが高度な攻撃を容易に実行できるようになりました。マネージドセキュリティプロバイダーは、多層的な防御体制を通じてランサムウェアに対抗しています。具体的には、エンドポイントの検知・対応、ネットワークのセグメンテーション監視、そして暗号化が開始される前に準備活動、シャドウコピーの削除、大量のファイルアクセスを特定する行動分析などが挙げられます。

サプライチェーン攻撃は、組織とそのソフトウェアプロバイダーとの間の信頼関係を標的としています。マネージドプロバイダーは、サプライチェーンリスクに関する脅威インテリジェンスを収集・維持し、サードパーティ製ツールに関連する侵害の兆候を監視するとともに、広く使用されているソフトウェアに脆弱性が発見された場合には、補完的な対策を講じます。

IDを悪用した攻撃 全インシデントの40%を占めています(Verizon DBIR 2024)。マネージドセキュリティプロバイダーは、認証パターン、特権の使用状況、アカウントの挙動を監視し、侵害を示唆する異常を検知します。多要素認証(MFA)の徹底、特権アクセス管理、および継続的なID衛生状態の評価により 、ネットワーク、クラウド、IDレイヤーを横断する横方向の移動にエスカレートする前に、多くのIDベースの攻撃を未然に防ぐことができます。

マネージド・セキュリティの成果:理想的な姿とは

以下の事例は、実際に記録されたお客様の成果に基づいています。それぞれの事例は、このページの前半で取り上げた技術的または戦略的なポイントと直接関連しています。

グローブ・テレコム(2024年から2025年):対応時間を16時間から3.5時間に短縮

8,000万人以上の顧客のサービスを支えるグローブ・テレコムは、大規模なMSSPによる監視だけでは解決できない構造的な課題に直面していました。それは、膨大なアラート量によって真のインシデントが見えなくなってしまうという問題でした。行動分析AIによる優先順位付け機能を備えたマネージド・ディテクション・アンド・レスポンス(MDR)を導入した結果、同社は以下の成果を上げました。

  • アラートノイズを99%低減。
  • エスカレーションが96%減少した。
  • インシデントへの対応時間が16時間から3.5時間に短縮され、確認された攻撃に対する封じ込め速度が75%以上向上しました。

この事例は、「マネージド・セキュリティ・サービスの仕組み」のセクションで説明したアラートの優先順位付けの問題を如実に示しています。行動分析型AIフィルタリングにより、16時間かかっていた手動でのエスカレーションが、アナリストの増員ではなく、3.5時間の的を絞った対応へと短縮されました。

Luxgen Motor(2024年):5名未満の体制で実現したエンタープライズレベルのセキュリティ成果

Luxgen Motorは、5名未満のセキュリティチームで、アラート発生数を92.6%、エスカレーション件数を95.3%削減することに成功しました。この成果は、マネージド・ディテクションの拡張に人員の増強は不要であることを示しています。重要なのは、価値の低いシグナルが人間のアナリストに届く前に排除する「行動に基づく選別」を行うことです。

この事例は、費用対効果分析の枠組みと直接結びついています。同組織は人員を増員することなく、エンタープライズレベルのセキュリティ成果を実現しました。これは、同等の社内24時間365日体制のチームを運用する場合に年間150万ドルから250万ドルかかる人件費と比較して、マネージドセキュリティの採用が経済的に魅力的であるという論理と同じものです。

重要なポイント:効果的なマネージドセキュリティは、監視されるアラートの量によって決まるものではありません。それは、環境内に攻撃者の侵入が確認された際の、封じ込めの速度と正確さによって決まるものです。上記のすべての事例において、被害が発生する前に封じ込めることができたのは、社内セキュリティチームの規模ではなく、ネットワーク全体で機能する行動検知技術のおかげでした。

アラートの転送が十分に速くない場合、その遅れを埋めるのは何でしょうか?

上記の成果――30分でのランサムウェアの封じ込めからインシデント対応時間の75%短縮に至るまで――はすべて、ネットワーク、ID、クラウドを横断してリアルタイムに動作する行動検知技術によって実現されました。監視と能動的な対応との間のギャップこそが、多くのマネージドセキュリティモデルが失敗する原因となっています。

Vectra AIがMXDRをどのように実現するかをご覧ください

管理されたセキュリティとコンプライアンス

SECの開示規則により、上場企業は重大なインシデントを4営業日以内に報告することが義務付けられています。NIS2は、EU域内の組織に対し、インシデントの迅速な通知を義務付けています。HIPAAは、アクセス管理、暗号化、監査ログの記録を義務付けており、医療分野における情報漏洩事故の平均コストは1件あたり742万ドルに上ります(IBM 2025年)。マネージドセキュリティプロバイダーは、継続的な監視、迅速なインシデント報告、および設計段階から組み込まれた管理有効性の監査可能な証拠を提供します。定期的な内部監査では、このような迅速な対応は不可能です。


規制環境は、すべての主要な法域において、継続的かつ証拠に基づくセキュリティ要件へと移行しています。

  • SECのサイバーセキュリティ開示規則では、上場企業に対し、包括的なリスク管理プログラムを維持しつつ、重大なインシデントを4営業日以内に報告することが義務付けられている。
  • NIS2指令(EU)は、インシデントの迅速な通報および経営陣の説明責任に関する枠組みを導入しており、具体的な要件は加盟国によって異なる。
  • HIPAAでは、アクセス管理、暗号化、監査ログの記録など、包括的なセキュリティ対策が求められています。医療機関における情報漏洩の平均コストは742万ドルに達しており、これは世界平均を大幅に上回っています(IBM 2025)。
  • PCI DSS、SOC 2、およびSWIFTは、金融サービス事業者に対して重複する要件を課しており、継続的なモニタリングを規制上の管理フレームワークに紐づけた、既成のコンプライアンスパッケージを提供するプロバイダーへの需要が高まっています。

マネージドセキュリティプロバイダーは、一般的なフレームワークに対応した既成のコンプライアンスパッケージを用意しており、一貫した対応範囲を確保しつつ、導入を迅速化します。数百件に及ぶ導入実績から得た知見に基づき、セキュリティ態勢と運用効率の両方を向上させるための、よくある落とし穴や最適化の機会を特定します。

監査対応可能なレポート作成と継続的なコンプライアンス監視

継続的なコンプライアンス監視により、定期的な評価の間のギャップを埋めます。マネージド・セキュリティ・プラットフォームは、規制要件に対するセキュリティ態勢をリアルタイムで評価し、監査上の指摘事項となる前に不備を特定します。ダッシュボードにより、経営陣、監査委員会、および規制当局は、コンプライアンス状況を直接把握することができます。

自動化されたレポート機能により、規制当局への提出業務やステークホルダーとのコミュニケーションが効率化されます。あらかじめ用意されたテンプレートにより、一般的な要件に対応可能です。また、カスタマイズ機能により、組織固有のニーズにも柔軟に対応できます。インシデントが発生した際には、マネージドサービスを通じて、タイムライン、影響評価、是正措置を記録したフォレンジックレポートを作成します。これにより、開示要件を満たしつつ、法的特権を保護します。

監査が終わってからではなく、今この瞬間、自社の内部統制が機能していることを証明できますか? これこそが、規制当局が問いかけている点です。組織がこの問いに答えるための手段こそが、継続的なコンプライアンス・モニタリングなのです

適切なMSSPの選び方

マネージドセキュリティプロバイダーの選定は、単なる調達業務ではなく、セキュリティアーキテクチャに関する意思決定です。プロバイダーの対応範囲、検知手法、対応権限、および統合の深度によって、進行中の攻撃を封じ込めることができるか、それとも単に監視するにとどまるかが決まります。

対象範囲と検出深度

プロバイダーは実際に何を監視しているのでしょうか?ネットワークのみの可視性では、エンドポイント、アイデンティティ、クラウドに死角が生じてしまいます。具体的に、どのようなテレメトリソースが取り込まれているか、どのような攻撃手法が検出されるか、 MITRE ATT&CK キルチェーン全体でどのように カバーされているかを尋ねてみてください。攻撃手法レベルで回答できないプロバイダーは、一般的な主張に頼っているに過ぎません。

対応能力と封じ込め能力

プロバイダーは監視とアラート通知のみを行うのか、それとも監視と対応の両方を行うのか。クライアント側での対応を待つだけのアラート転送を行うMSSPでは、攻撃が進行中の際に被害を封じ込めることはできません。一方、事前の対応権限を付与されているMDRプロバイダーは、脅威を確認してから数分以内にホストを隔離し、侵害されたアカウントを無効化し、悪意のあるトラフィックを遮断します。この機能の差こそが、攻撃を封じ込められるか、それとも完遂されてしまうかを左右するのです。

検知および対応までの平均時間に関するベンチマーク

インシデントの種類ごとに、各プロバイダー固有のMTTdおよびMTTrの指標を提示するよう求めます。業界平均ではなく、そのプロバイダー自身の顧客ベースに基づく数値である必要があります。主要なMDRプロバイダーは、既知の攻撃パターンを数時間、あるいは数分単位で検知します。具体的なベンチマークを提示できないプロバイダーについては、懐疑的な見方をするべきです。

統合モデルと導入スケジュール

このプロバイダーは、既存のSIEM、SOAR、ID管理、エンドポイント管理ツールとどのように連携するのでしょうか?連携にはプラットフォームの全面的な入れ替えが必要なのか、それとも既存の投資を補完するものとなるのでしょうか?移行期間中のカバー範囲のギャップはどのようになるのでしょうか?営業上のスケジュールではなく、現実的な導入スケジュールを確認してください。

コンプライアンスおよび報告機能

そのプロバイダーは、貴社の規制上の義務で求められる具体的なコンプライアンス報告書を作成していますか?一般的なセキュリティ報告書ではなく、NIS2SOC 2PCI DSS、HIPAA、またはSECの要件(該当する場合)に準拠した、各フレームワーク固有の報告書です。インシデント報告書の構成はどうなっていますか?追加の処理を必要とせずに、開示要件を満たしていますか?

脅威インテリジェンスと検知速度

プロバイダーは、新たな攻撃手法に対する検知機能をどのくらいの速さで提供できるのでしょうか?シグネチャの更新に依存するプロバイダーは、アクティブな攻撃者に悪用されやすいタイムラグを抱えています。一方、行動分析型AIを活用したプロバイダーは、攻撃者の行動を観察して 新たな手法を特定した後、数日あるいは数時間以内に新たな検知機能を実装します。この2つの対応速度の差こそが、攻撃者が検知されずに活動できる時間的余裕となるのです。

Vectra AIのマネージドセキュリティへの取り組み

現代の攻撃の79%~81%は、マルウェアを使用せずに実行されています(CrowdStrike 2025)。ログの集約、ルールマッチング、アラート転送といった手法では、シグネチャを生成しない攻撃を検知することはできません。Vectra AIはこれらとは異なるアーキテクチャを採用しています。攻撃者が残すシグネチャではなく、ネットワーク内での攻撃者の挙動を特定する「行動型AI」に基づいているのです。

Vectra AIのマネージドセキュリティへのアプローチは、相互に関連した5つの層で構成されています。

MITRE ATT&CKに基づく攻撃者の行動モデリング

Vectra AIの検知は、異常スコアリングではなく、セキュリティ調査から始まります。検知エンジニアリングおよびデータサイエンスチームは、ネットワーク、ID、クラウド、SaaSの各領域において、攻撃者の行動をMITRE ATT&CK に直接紐付けます。すべての検知は、意図や文脈を欠いた統計的な逸脱ではなく、攻撃者が実際に サイバーキルチェーンをどのように進行させるかに基づいて行われます。モデル化される行動には、以下のものが含まれます。

  • 認証情報の悪用と初期アクセス。
  • 横方向の移動と権限昇格。
  • 指揮統制と持続性。
  • データのステージングと外部への持ち出し。

検知結果は説明可能かつ再現性があり、正当化が可能で、攻撃者の手法と防御の結果との間に明確な関連性が示されます。セキュリティチームはこれらの検知結果を信頼し、規制当局、取締役会、および同業者に対してその正当性を説明することができます。

Jetstreamによるリアルタイム・ストリーミング分析

Jetstreamは、収集後に処理するのではなく、ネットワークおよびIDのテレメトリデータをリアルタイムで処理する、分散型かつストリーミング優先のアーキテクチャです。バッチ処理ベースのログ中心のシステムは、データを事後的に分析します。一方、Jetstreamは、ハイブリッド環境全体でイベントが発生するたびに、テレメトリデータを継続的に取り込み、情報を付加し、相関付けを行います。

Jetstreamは、遅延を生じさせることなく、またパケットの完全なキャプチャを必要とせずに、高スループットのネットワークフロー、IDイベント、およびメタデータストリームを処理します。活動が進行している最中に、行動パターンを検知し、攻撃者の進行状況を追跡し、攻撃シグナルを生成します。マネージドセキュリティオペレーションにおいて、スピードは負担ではなく、防御上の強みとなります。

高忠実度・低ノイズ信号のためのメタデータ・シグナル・ファブリック

Vectra AIの「Metadata Signal Fabric」は、フルパケットキャプチャ、生ログ、または孤立したアラートに依存することなく、ハイブリッド環境全体からセキュリティに関連するメタデータを抽出、正規化、および強化します。データソースには、以下のものが含まれます。

  • ネットワークフローとトラフィックメタデータ。
  • Active Directory、Azure AD、およびクラウドIDプロバイダーからのID関連イベント。
  • AWS、Azure、Google Cloudの各ワークロードにおけるクラウド上の活動状況。
  • Microsoft 365 および連携アプリケーションからの SaaS 連携。

このメタデータには、ID、資産の役割、行動履歴、攻撃の段階、リスク態勢などのコンテキスト情報が継続的に追加されます。その後、ドメインや時間を超えて相関分析が行われます。検知、調査、対応の各ワークフローは、すべて環境に関する一貫性のあるコンテキスト化されたビューに基づいて実行されます。アナリストは、パケット処理量の多いシステムに伴うストレージ、パフォーマンス、運用上のオーバーヘッドを気にすることなく、環境を詳細に把握することができます。

ID、ホスト、権限にわたる多層的なアトリビューション

攻撃者はIDを悪用し、サービスを装い、システム間で横方向の移動を行います。攻撃の帰属特定は、IPアドレスや単一のイベントの相関分析にとどまるものであってはなりません。Vectra AIの「Multi-Layer Attribution」は、ネットワークの挙動、IDのコンテキスト、権限に関するインテリジェンスを組み合わせることで、ユーザー、サービスアカウント、ワークロード、ホスト、インフラストラクチャにわたるアクティビティを継続的に関連付けます。具体的な機能は以下の通りです。

  • 特権アクセス分析(PAA) ハイブリッド環境全体におけるリスクの高い特権昇格や不正利用を特定するための
  • IPアドレスが変更されてもシステムを継続的に追跡するためのホストID
  • Kingpinは、攻撃者が制御権を掌握するために狙う、リスクの高いIDやアクセス関係を見極めるためのツールです。

これらの層が連携することで、表面的なシグナルだけでなく、その背後にある真のエンティティにアクティビティを正確に紐付けることが可能となり、より正確な優先順位付けと、より安全な自動対応を実現します。

AIを活用したトリアージと360度対応

Vectra AIのAIエージェントは、ネットワーク、ID、クラウド、SaaSにわたる行動を継続的に分析し、真のリスクと異常を区別します。イベントを自動的に優先順位付けし、ドメインをまたぐ関連アクティビティを相関分析し、攻撃の進行状況や潜在的な影響度に基づいてホストやIDの優先順位を決定します。動的な攻撃グラフは、行動間の関連性を可視化し、攻撃の範囲や意図をリアルタイムで明らかにします。

調査の結果、アクティブな攻撃が確認された場合、360 Responseは検知情報を基に、連携のとれた多層的な対応措置を講じます。対応措置には、ホストの隔離、侵害されたアカウントの無効化またはリセット、そして権威ある強制執行ツールを用いた悪意のあるトラフィックの遮断(自動または手動)が含まれます。この対応能力の差こそが、行動分析型MDRとアラート転送型のMSSPモデルを分ける決定的な違いです。

能力 関数 マネージド・セキュリティ・アウトカム
攻撃者の行動のモデル化 検知MITRE ATT&CK &CKキルチェーンにマッピングする 統計的なノイズではなく、実際の攻撃者の手法に基づいた検知
Jetstreamリアルタイムエンジン エンタープライズ規模で、動作中のテレメトリを処理する 攻撃者は侵入後ではなく、活動中に検知された
メタデータ・シグナル・ファブリック ドメイン間のシグナルを強化し、相互に関連付ける フルパケットキャプチャのオーバーヘッドを伴わない高忠実度信号
多層アトリビューション 特権やアクセス権の有無にかかわらず、活動と真のアイデンティティを結びつける 正確な優先順位付け、誤った対象への帰属がないこと
AIエージェントによるトリアージ リスクを自動的に関連付け、優先順位を付けます アナリストは、アラートのキューではなく、確認済みの脅威に焦点を当てている
360レスポンス デバイス、ID、ネットワークにわたる連携した防御 手動による承認プロセスを待たずに、アクティブな封じ込めを行う

結論

多くの組織が攻撃者に敗北するのは、適切なツールを導入しなかったからではありません。その原因は、セキュリティ運用チームがネットワーク全体で何が起きているかをリアルタイムで把握できず、事態を把握したとしても迅速に対応できないことにあります。マネージド・セキュリティ・サービスは、この2つの課題を解決します。すなわち、攻撃者が活動するあらゆる環境を継続的に可視化すること、そして攻撃者が目的を達成する前に、人間の承認を待たずに即座に対応措置を講じることができる対応能力を備えていることです。

マネージドセキュリティの価値は、処理されたアラートの数にあるわけではありません。その価値は、検知から封じ込めまでの時間差にあり、その差が数分単位なのか、それとも数ヶ月単位なのかという点にあります。

マネージドセキュリティプロバイダーを選定または契約を更新する前に、現在の環境について以下の診断項目を確認してください。

  • ネットワーク上のデバイス(管理対象外、IoT、OTシステムを含む)のうち、現在の監視システムで把握できている割合はどのくらいですか?攻撃者が、監視対象外となっているデバイス間を移動した場合、どのような事態が発生するでしょうか?
  • プロバイダーが脅威を確認した場合、封じ込めには何分かかりますか?また、各対応措置を実行する前に、チームによる承認が必要ですか?
  • 御社のプロバイダーは、環境MITRE ATT&CK 対応状況を具体的に示すことができますか?それとも、特定の攻撃者の行動との関連付けを行わずに、一般的な表現で対応状況を報告しているだけでしょうか?
  • ネットワーク上の特権アカウントが午前2時に新しいクラウドリソースへの認証を開始した場合、検知システムが最初に実行する自動化されたアクションは何でしょうか?人間のアナリストはいつその事象に気付くのでしょうか?
  • 情報漏洩の発生が公表されてから24時間以内に、規制当局から継続的な監視およびインシデント対応の有効性に関する証拠の提出を求められた場合、御社のプロバイダーはどのようなコンプライアンス報告書を作成するでしょうか?

御社のマネージドセキュリティプロバイダーは、実際に攻撃を検知しているのでしょうか、それとも単にアラートを転送しているだけなのでしょうか?

このページに掲載されている事例はいずれも、行動分析型AIがログベースの相関分析に取って代わった場合に何が起こるかを示しています。つまり、数ヶ月ではなく、数分で脅威を封じ込めることができるのです。監視と能動的な対応との間のギャップこそが、多くのマネージドセキュリティモデルが失敗する原因となっています。

Vectra AI MXDRの仕組みをご覧ください

よくある質問 (FAQ)

MSSPとMDRの違いは何ですか?

MSSPとSOCは同じものですか?

マネージドサービスでは脅威をどの程度迅速に検出できますか?

マネージドセキュリティサービスはコンプライアンス対策に役立ちますか?

適切なマネージドセキュリティプロバイダーをどのように選べばよいですか?