💡 この記事の結論(先にお伝えします)
従業員10名以下は「UTM+エンドポイント保護のライト構成」で月額1〜2万円。30〜50名は「EDR+UTMの2層構成」で月10万円前後。100名超で情シス専任が1名以下なら「MDRを足してSOC外注」が現実解です。中小企業に『EDR・MDR・UTMの3つすべて』は基本的に不要。判断フローは本文中盤で詳述します。
そもそもEDR・MDR・UTMは何が違うのか(中小企業視点での整理)
3つの略語が並ぶと身構えてしまいますが、守る場所と守り方が違うだけです。難しい用語を一度外して、「誰が・何を・どこで守るのか」で整理し直しましょう。
3つの守備範囲を1枚図で理解する(エンドポイント/監視運用/ゲートウェイ)
まず役割を一文で言い切ります。EDRは社員のパソコンを守る仕組み、MDRはその監視を外部のプロに代行してもらう契約、UTMはオフィスの出入口に置く門番です。それぞれ守備範囲がまったく違うので、本来は「比較して1つ選ぶ」ものではなく「どこを補強するか」で組み合わせるものです。
| カテゴリ | 守る場所 | 主な役割 | 運用担当 |
|---|---|---|---|
| EDR(Endpoint Detection and Response) | 社員のPC・サーバー | 不審な挙動を検知し、感染端末を隔離 | 自社の情シス |
| MDR(Managed Detection and Response) | EDRの検知結果を24時間監視 | 外部SOCがアラート分析・初動対応を代行 | セキュリティベンダー |
| UTM(Unified Threat Management) | オフィスのインターネット出入口 | 外部からの攻撃・不正サイト遮断を一括処理 | 自社の情シスまたは販売代理店 |
EDRとMDRはセットで語られることが多いですが、両者の関係は「EDR=検知の道具」「MDR=その道具を使いこなす人」と理解すれば混乱しません。UTMはレイヤーがまったく異なり、ネットワークの境界線を守ります。
アンチウイルス(EPP)との違い、ゼロトラストとの位置関係
「うちはウイルスバスター入れてますけど、EDRって別物ですか?」という質問をよく受けます。答えはYesです。従来のアンチウイルスソフト(業界用語ではEPP:Endpoint Protection Platform)は既知のウイルスパターンを照合して未然にブロックする仕組み。一方EDRは、すり抜けた後の「不審な動きを後追いで検知する仕組み」です。
近年のランサムウェアは正規ソフトに偽装したり、メールの添付ファイルを開いた瞬間ではなく数日後に発症したりするため、パターン照合だけでは見逃します。IPAが毎年公表する「情報セキュリティ10大脅威」でも、ランサムウェアによる被害は組織部門の脅威ランキングで上位の常連です。EPPとEDRは対立ではなく、EPPで9割をブロックし、すり抜けた1割をEDRで捕まえる二段構えが現実的です。
ゼロトラストはさらに上位の概念で、「社内ネットワークだから安全」という前提を捨て、すべての通信を都度検証する設計思想です。EDR・MDR・UTMはゼロトラストを構成する個別の部品と捉えてください。
中小企業に「3つとも必要」はウソ — 重複と省略の判断軸
ここが本記事最大のメッセージです。従業員50名以下の中小企業に、EDR・MDR・UTMの3つを同時導入する必要はありません。ベンダー提案では「多層防御が常識」と全部入りを勧められますが、年間ライセンス費200万円を超える構成は中小企業の運用キャパシティを超えます。
⚠ よくある誤解
「UTMを入れているからEDRは不要」「EDRを入れたからUTMは外していい」——どちらも間違いです。守る場所が違うので代替できません。ただし規模が小さければ「片方だけで十分」というケースは存在します。次章のマトリクスで規模別に整理します。
従業員規模×予算で見る判断マトリクス(10名/50名/100名の現実解)
競合記事の多くは「EDRはこういう機能」「UTMはこういう機能」と機能解説で終わります。実務担当者が知りたいのは「で、うちの規模だと何を入れるべきか」です。ここからが本記事の核心です。
従業員10名以下・月1万円以内で組むなら:UTM単体 or エンドポイント保護ライト構成
社員10名以下で情シス専任がいない会社(社長か総務担当が片手間で見ている状態)の現実解は、以下の二択です。
- 選択肢A:UTM単体構成。SMB向けのアプライアンス型UTMをルーター代わりに設置し、インターネットの出入口で攻撃の大半をブロックします。リース・レンタル契約で月額5,000〜15,000円帯(販売代理店の見積比較・2026年5月時点)。初期費用を抑えるなら、回線契約に同梱されるキャリア提供のセキュリティパックも候補です。
- 選択肢B:Microsoft 365既存契約に「ぶら下げる」エンドポイント保護。すでにOfficeを業務で使っている会社なら、Microsoft 365のSMB向けプランをひとつ上のグレード(Business Premium相当)に切り替えるだけで、追加アプリを1本も入れずにエンドポイント保護機能が使えるようになります。料金は時期や為替で変動するため、契約時に「現在のプランから差額がいくら増えるか」を販売パートナー経由で確認するのが確実です。
製造業や建設業のように現場PCがあまり外に出ない業態ならUTM単体で十分。営業中心でノートPCを持ち歩く業態ならエンドポイント保護ライトの方が合います。「在宅勤務・外出が多いか」が10名規模での分かれ目です。
💡 ポイント:10名以下の落とし所
情シス不在の会社で複雑な構成を組むと、結局誰も管理画面を開かなくなります。月1万円で「最低限の門番1つ」を置く方が、20万円かけて誰も使わない仕組みを買うより安全です。
従業員30〜50名・月5〜15万円帯:EDR+UTMの2層構成が現実的な理由
30〜50名規模になると、リモートワーク端末が一定数あり、UTM単体ではカバーしきれません。社外に持ち出されたノートPCはオフィスの門番(UTM)の外側にいるからです。この規模ではEDR+UTMの2層構成が標準解になります。
具体的な相場感は次の通りです(販売代理店からSMBが実際に提示される見積レンジ・2026年5月時点)。
- EDR:1ユーザーあたり月額700〜2,000円が中央値帯。最小契約数や年契約縛りで単価が変動するため、50名でも月額3.5万〜10万円の幅が出ます。
- UTM:月額10,000〜30,000円(リース/レンタル含む)。回線速度と同時セッション数で機種が決まります。
- 合計:月額5〜13万円程度が現実的なレンジ。
この規模では情シス担当が1名いるケースが多いものの、その人物が他業務と兼任していることがほとんど。EDRのアラートを自分でトリアージできる体制があるかどうかが、MDRを足すか否かの分岐点になります。
従業員100名前後・月20万円超:MDRを足してSOC外注する判断ライン
100名規模になると、EDRから上がってくるアラートは1日数十件レベルになります。情シス専任1名では夜間・休日のインシデント初動が間に合わず、ランサムウェアが暗号化を完了するまでの数時間を失います。MDRはここで初めて「贅沢品」から「保険」に変わります。
MDR料金の体感レンジは1ユーザー月額1,500〜4,000円ですが、ここで重要なのは「単価」ではなく「契約条件の組み合わせ」です。中小企業がMDRを選ぶ際の独自比較軸を整理します。
| 比較軸 | 確認すべき具体ポイント | SMBが見落としがちな落とし穴 |
|---|---|---|
| 日本語サポート時間 | 24時間365日の電話窓口があるか/メールのみか | 海外SOCの英語チャットのみで、深夜の社長電話に出てくれない契約が混ざる |
| 最低契約期間 | 1年縛りか3年縛りか/中途解約金 | 月額表記の安さに飛びつくと3年縛りで総額が逆転する |
| 対応範囲(一次対応か封じ込めまでか) | 「通知のみ」か「ベンダー側で隔離まで実施」か | アラート転送だけで結局自社で対応するMDR契約が存在する |
| データ所在地 | ログの保管リージョン(国内DC/海外) | 官公庁取引や個人情報を扱う業務で国内保管が要件になる場合がある |
| 月次報告書の日本語化 | 日本語ネイティブのアナリストが書くか、機械翻訳か | 取締役会への報告で翻訳の手直し工数が毎月発生する |
判断基準はシンプルです。「インシデント発生から初動着手までを何時間以内に抑えたいか」。自社で4時間以内に対応できる体制があるならMDRなしでも回せます。夜間休日に4時間以上空く可能性があるならMDRで埋めるべきです。
⚠ 反証:MDRが逆に重荷になるケース
月間処理件数が小さく、扱う情報の機微度も低い従業員30名の卸売業のような会社では、MDRを足すと年間60万円超のランニングが乗ります。同じ60万円をサイバー保険+データバックアップの3世代化に振り分けた方が、ROIは確実に高くなります。MDRはあくまで「インシデント時の数時間が経営インパクトに直結する業態」のための保険であり、すべての100名企業に必須ではありません。
判断フローチャート(YES/NO 5問で構成を決める)
下記の5問に順番に答えてください。3分で自社の最適構成が決まります。
| 質問 | YESの場合 | NOの場合 |
|---|---|---|
| Q1. 従業員は20名以下ですか? | UTM単体 or エンドポイント保護ライトで検討 → Q2へ | Q3へ |
| Q2. ノートPCを社外に持ち出す社員が半数以上いますか? | エンドポイント保護ライト推奨 | UTM単体で十分 |
| Q3. 情シス専任が1名以上いますか? | EDR+UTMの2層構成 → Q4へ | EDR+UTM+MDR、または運用代行付きパッケージへ |
| Q4. 従業員は80名を超えていますか? | MDR追加を強く推奨 | EDR+UTMで様子見 → Q5へ |
| Q5. 顧客の個人情報・クレジットカード情報を扱いますか? | MDR追加を検討 | EDR+UTMで継続運用 |
導入後の運用は実際どうなるのか:管理画面・所要時間・月次レポートの中身
機能や価格はカタログでわかりますが、「結局誰がどれだけの時間をかけて運用するのか」は導入してから気づくポイントです。ここでは各製品の公式ドキュメント・公式ヘルプセンター・代理店公開資料をもとに、管理画面で何が見えるか・1日何分かかるか・月次レポートに何が書かれているかを具体的に整理します。
EDR管理画面の触感:感染端末は「数クリック」で隔離できる
EDR導入で最初に戸惑うのが「アラートが鳴ったとき何を押せばいいのか」です。代表的なクラウド型EDRの管理画面は、共通して以下のような流れで端末を社内ネットワークから切り離せます(各製品の公式ドキュメントの構造を抽象化)。
- ブラウザで管理ポータルにサインインし、左メニューから「デバイス」または「ホスト」一覧を開く。
- 該当する端末名をクリックして詳細ページを表示し、「分離」「Network Contain」など隔離系の操作ボタンを選択する。
- 分離理由を1行入力して確定。30秒〜1分以内に対象端末は管理通信を除く社内外通信を遮断され、横展開が止まる。
従来のように代理店に電話して「○○のPCを切り離してください」と頼む必要はなく、夜10時に自宅から自分のスマホでも実行できるのがクラウド型EDRの最大の運用メリットです。情シス担当が出社するまで待たずに済む数時間が、ランサムウェアの暗号化進行を止める分岐点になります。
逆に注意点もあります。隔離の「解除」操作は誰でも押せてしまう設計のことが多く、感染が完全に駆除される前に営業担当が「メールが見られないから戻して」と要求して解除してしまい、再感染するケースが代理店事例として頻繁に語られます。隔離操作の権限は情シスのみ、解除には2人承認という運用ルールを最初に決めておくことをおすすめします。
1日の運用時間:5人チーム・30人チーム・100人チームの実態
「結局1日何分かかるんですか」という質問への現実的な目安を、規模別にまとめます。これはベンダーが公開する想定値ではなく、SMBの実装担当者へのヒアリングと代理店の運用支援メニューから逆算した数値です。
| 規模 | 1日のアラート数(目安) | 1日の運用時間 | 月次レポート確認 |
|---|---|---|---|
| 5人チーム(EDRライトのみ) | 週0〜2件 | 朝のメール5分 | 月15分 |
| 30人チーム(EDR+UTM) | 1日2〜5件 | 朝晩15分ずつ | 月1時間 |
| 100人チーム(EDR+UTM+MDR) | 1日10〜30件(MDRで一次処理済み) | 朝1時間(MDRの夜間報告を確認) | 月2時間+経営会議資料化 |
注目してほしいのは、MDRを足した100人チームの「アラート数の多さ」と「運用時間の少なさ」のギャップです。MDRの本質は「アラートを減らすこと」ではなく「自社で見なくていいアラートを増やすこと」。これが月15万円以上を払う対価です。
月次レポートに書かれるべきこと:経営層への報告フォーマット
EDR・MDR・UTMいずれも月次レポートが提供されますが、中身は製品によって精度がまちまちです。SMBの取締役会や社長への報告で「使えるレポート」は、以下の3項目が必ず含まれているかで判定できます。
- 遮断したインシデント数とその深刻度の分布(「軽微」「警戒」「重大」を3段階で表示)。
- 「あと一歩で侵入されかけた」未遂事例の具体的な記述。社長は「何も起きませんでした」では納得しません。「今月、○○という攻撃を×件遮断しました」と書ける製品を選ぶこと。
- 同業他社の脅威動向との比較。自社単体の数字だけでなく、業界全体のトレンドが書かれているとセキュリティ投資の継続承認が取りやすくなります。
レポート品質はベンダー選定時に「直近のサンプルレポートを匿名化して見せてください」と依頼するのが鉄則です。営業資料には「詳細な月次レポート提供」と書いてあっても、実物は単なるアラート集計CSVということが珍しくありません。
こんな会社にはEDR・MDR・UTMは向かない(逆評価)
記事の最後に、あえて「導入しない方がいい会社」のパターンを挙げます。ベンダー営業が言いにくい話だからこそ、ここに書く価値があります。
従業員5名以下・社内サーバーなし・SaaSのみで業務完結する会社
ほぼすべての業務がGoogle WorkspaceやMicrosoft 365、Salesforceなどのクラウドサービス上で完結し、社内に物理サーバーがなく、社員が自分のノートPCで仕事をしている小規模事業者の場合、EDRやUTMより先にやるべきセキュリティ対策があります。具体的には多要素認証(MFA)の全社必須化、SaaS管理者アカウントの権限分離、退職者アカウントの即時無効化フローです。これらは無料か追加コスト数千円で実装できます。EDRに月3万円払う前に、まずMFA未設定の管理者アカウントがないかを点検してください。
すでにキャリア提供のセキュリティパックで満足している会社
NTT・KDDI・ソフトバンクなどの回線事業者が提供する「中小企業向けセキュリティパック」を契約していて、現状大きな被害がない会社は、無理に乗り換える必要はありません。移行作業の混乱中に発生する隙の方が、製品スペック差より大きなリスクになることが多いからです。乗り換えを検討するタイミングは、従業員数が現在の1.5倍に増えたとき、または機密性の高い案件(医療・金融・官公庁)を受注したときに限定するのが現実的です。
結局どれを選ぶべきか:規模別の最終推薦
判断フローと運用実態を踏まえて、3つの規模別に最終推薦をまとめます。
✅ おすすめ:従業員10名以下 → UTM単体 or Microsoft 365既存契約のグレードアップ
情シス不在の小規模事業者は、複雑な構成より「日常的に管理画面を開ける1つの仕組み」を選ぶべきです。すでにMicrosoft 365を使っているならグレードを1段上げる、それ以外ならSMB向けUTMをリース契約で。月1〜2万円が現実的なライン。
✅ おすすめ:従業員30〜50名 → EDR+UTMの2層構成
リモート端末をカバーするEDRと、オフィスを守るUTMを組み合わせる。情シス兼任担当者が朝晩15分ずつ確認できる体制を作る。MDRはまだ不要。月5〜13万円帯で構成可能。
✅ おすすめ:従業員100名超・情シス専任1名以下 → EDR+UTM+MDR
夜間休日のインシデント初動を外部SOCに委ねる。MDR選定時は単価より「日本語24時間サポート」「国内データ保管」「封じ込めまで実施するか」を契約書レベルで確認すること。月25〜50万円帯。
【2026年5月更新】 Appleが5年がかりで構築したセキュリティ対策が、わずか5日で「Mythos」によって突破されたと報じられました。大手ベンダーの堅牢な防御でさえ短期間で破られる現実は、中小企業のSaaS運用にも重要な示唆を与えます。自社でゼロからセキュリティを内製するのは現実的ではないため、多要素認証やゼロトラスト対応、脆弱性パッチの自動適用といった機能を備えたSaaSを選定することが不可欠となりました。今回の事例を受け、ツール選びの際はセキュリティ更新の頻度とインシデント対応体制を比較項目に加えることをおすすめします。
【2026年5月更新】 ITmedia AI+より: OpenAI、日本政府とサイバーセキュリティで協力 最新AI「GPT-5.5-Cyber」を金融機関に提供
導入前に必ず確認すべき3つのチェックリスト
最後に、ベンダーと話す前に社内で確認すべき3点を箇条書きで残します。これを埋めていないとベンダー営業のペースに巻き込まれます。
- 現在使用中のセキュリティ製品の契約期間と解約金。既存ウイルス対策ソフトの契約が来年まで残っているなら、二重契約期間が発生します。
- 社内ネットワーク機器の世代。UTMを入れても上流のルーターが古くて速度が出ない、というケースが頻発します。
- インシデント発生時の連絡先と意思決定者。社長/情シス/法務/広報の役割分担を、製品導入前に1枚紙にまとめておくこと。
EDR・MDR・UTMは「導入したら終わり」の製品ではなく、運用ルールと一体で初めて機能する仕組みです。自社の規模・業態・運用体制に正直になって選べば、年間コストは半分、安全性は2倍にできます。
IT・SaaS専門の比較メディア。中小企業の導入担当者向けに独自調査・中立的な比較情報を提供