MDR更新の岐路――AIがアラート対応を担うようになると何が変わるのか

この10年ほど、マネージド検知・対応(MDR)の選定は単純な判断でした。24時間365日体制のSOCを自前で構築できないチームは、それが可能なプロバイダーに検知と対応をアウトソースしていました。これはリソース不足という課題への解決策であり、代替案(手の届かないチームを雇う、あるいは拡大し続けるアラート表面全体に対して機能的なSOARプレイブック群を維持する)よりも優れていたのです。

しかし、次のMDR更新の判断について、これまでとは違う視点で見ているセキュリティ責任者が増えています。

エージェント型AI SOCプラットフォームは、そもそもMDRを必要とさせていた分析業務のかなりの部分を、今や担えるようになっています。これは単なるトリアージやエンリッチメントにとどまらず、あるアラートを実在する脅威かどうかの判定にまで落とし込む「推論」そのものを含みます。この新たな選択肢は、2年前には存在しなかった、更新判断への別の道筋を生み出しています。

では、この判断は今どのようなものになっているのでしょうか。

MDRモデルの限界が露呈する場面

優れたMDRプロバイダーは、成熟した検知ライブラリ、確立されたエスカレーションのワークフロー、そして時間をかけて顧客環境への理解を深めた経験豊富なアナリストなど、確かな価値を提供しています。しかし、セキュリティチームがMDRサービスで直面する問題の多くは、特定ベンダー固有の問題というより、このモデルそのものの性質に起因しています。

MDRの経済性は、数百社の顧客に横断的に適用できる検知コンテンツに依存しています。これは、成熟したプログラムほど痛感する、3つの結果をもたらします。

  • カスタム検知は対象範囲外になる。チームが独自に作成する検知ルールや環境固有のロジックは、成熟したエンタープライズではアラート量の10~30%を占めることがあります。こうしたアラートは、MDRプロバイダーから単に社内チームへ回されるだけです。共有型サービスでは、顧客ごとのコンテンツに合わせた専用の調査ワークフローを構築するコストを正当化できないからです。
  • 調査の深さが配給制になる。重大度の高い案件には詳細な調査記録が付きますが、重大度や確信度が低いアラートは二級市民のような扱いを受け、エンリッチメントは限定的で、迅速かつ簡素なトリアージ基準が適用された末に、最終的にはエスカレーションされます。チームが薄いエスカレーション情報をもとに対応せざるを得ない場合、事実上、調査は社内でゼロからやり直すことになります。
  • 組織的な文脈理解には限界がある。多数の顧客を横断的に担当するアナリストは、今月エンジニアリング部門が新しいVPNを試験導入していることや、特定のサービスアカウントの奇妙な挙動が想定内であることまでは把握できません。このギャップは、繰り返し発生し結局は自社で解決することになる誤検知エスカレーションという形で表面化します。

これらの要素はどれ単独ではMDRを悪い選択にするものではありませんが、幅広さを重視して設計されたモデルにつきものの、想定内のコストの一部と言えます。

AI SOCが変えるもの

更新の損益計算が変わりつつある理由は、AI SOCプラットフォームが調査能力をアナリストの人員数から切り離す点にあります。希少な人的リソースの注意力を配給する代わりに、高信頼度のものであれ低信頼度のものであれ、カスタムのものであれベンダー生成のものであれ、あらゆるアラートを、十分なエンリッチメントとドキュメント化を伴い、機械の速度で詳細に調査できます。

実際には、これは主に3つの成果として表れる傾向があります。

  • スピード。従来30~60分、薄いエスカレーション情報から文脈を再構築する必要がある場合はそれ以上かかっていた調査が数分で完了し、平均対応時間(MTTR)を大幅に短縮します。
  • カバレッジ。MDRの下では見過ごされがちだったアラート(量を抑えるための簡易トリアージの犠牲になっていた、カスタム検知や重大度の低いカテゴリ、プロバイダーの連携範囲外のツールから発生するアラート)が、人員を増やすことなく完全な調査を受けられるようになります。
  • 能力。調査が人的リソースの空き状況に縛られなくなることで、これまで実現できていなかった業務――継続的な脅威ハンティング、絶え間ない検知チューニング、能動的なカバレッジギャップ分析――を維持できるようになります。

もう一つ、あまり語られない利点もあります。AIベースのシステムによる調査は、学習した文脈情報を一貫して活用・適用できます。誤検知が発生した際に得られる情報はシステムに取り込まれ、その後の調査に生かされます。これはドキュメント化やアナリストがプロセスを一字一句忠実に守ることだけに頼っていては到底達成できないレベルの、継続的な改善を可能にします。

失うもの

ここは見過ごされがちな部分であり、この切り替えを単純な「同等品への置き換え」だと考えてしまうチームがつまずくポイントでもあります。

まず、時には何年にもわたってエスカレーションのワークフローに関わってきた社外の人的チームと、それに合わせてチームが築き上げてきた対応のリズムを失うことになります。また、社内では構築していなかったカテゴリまでカバーしていたかもしれないMDRの検知ライブラリも失われ、契約終了日以降は、そのカバレッジを維持する責任は自社が負うことになります。最良の場合には、脅威インテリジェンスの共有や検知態勢に関する戦略的な助言を含んでいたベンダーとの関係性も失うことになります。

さらに、AI SOCはそもそも担うようには設計されていないものもあります。

専門家証人レベルの証拠能力や数日がかりのフォレンジック再構築が求められるような侵害が発生した際の、本格的なデジタルフォレンジック・インシデント対応(DFIR)の代替にはなりません。また、午前2時に不安げな経営幹部を電話口に立たせられる「人間」でもありません。組織によっては、こうした説明責任(名前があり、SLAがあり、契約上責任を負う誰かがいること)は「あれば望ましい」ものではなく、本当に必要な要件です。セキュリティ運用機能を全く持たない、最も小規模なチームにとっては、完全マネージド型の人的サービスから始めるのが依然として正しい選択かもしれません。

オール・オア・ナッシングである必要はない

エージェント型AI SOCの能力は既に現実のものとなっており、その採用は急速に広がっています。MDRプロバイダー側もこの技術の採用を進めており、エージェント型AIによって改善された経済性を活用した新たなサービスが市場に登場しつつあります。AI SOCベンダーの側も、マネージド型の人的サービスが提供してきた安心感の水準を理解しており、信頼性と説明責任を高めるために人的要素を組み込んだハイブリッド型サービスを構築しています。例えばProphet Securityは、Prophet AI SOC Analystの上にシニアレベルの人間のSOCアナリストを重ねるマネージド監視サービス「Watchtower」を提供しており、重大な影響を及ぼす判定に対する24時間365日体制の専門家による検証、結論の出ていない調査のレビュー、そして脅威が社内チームにエスカレーションされる前の継続的な品質サンプリングを行っています。

調査業務を社内チームへ移管する意図があるのであれば、ほとんどのチームにとって最も無理のない道筋は、一気に切り替えることではなく、段階的に移行することです。まずは、カスタム検知や対象範囲外のツールなど、これまでもMDRから自社に回されていたアラートのルーティングから始めましょう。これなら既存のMDRサービスに手を加えることなくカバレッジを追加できます。次に、MDRの中核となるアラート種別を両方のシステムに並行して流し、調査の深さ、精度、判定までの時間、そして手戻りなく検証できるだけの十分な証跡が残っているかどうかといった重要なポイントを比較します。その比較で十分な確信が得られるまではMDRを保険として維持し、契約を縮小する前に検知カバレッジのギャップをすべて埋めておきましょう。

この移行を完遂するチームもあれば、意図的にハイブリッド型に落ち着くチームもあるでしょう。調査業務の大部分をAI SOCが担いつつ、侵害対応や専門的な対象領域、あるいは自社のリスク態勢が求める人的な説明責任のために、MDRやIRリテイナーを維持するという形です。

結論

調査能力はもはや人員数に縛られるものではなくなり、これにより何を社内に残し何を外部委託すべきかという計算そのものが変わりつつあります。この変化にうまく対応しているチームは、単にコスト削減だけを追い求めているのではありません。カバレッジと能力を軸に判断を組み立てる一方で、置き換え・維持・適応させる必要がある検知の所有権、対応のリズム、人的な説明責任について冷静に見極めているチームです。更新のタイミングで評価し、段階的に検証し、どちらの側の売り込みでもなく、実際の証拠に判断を委ねてください。

翻訳元: https://www.helpnetsecurity.com/2026/07/15/prophet-security-managed-detection-response-alternatives/

ソース: helpnetsecurity.com