XDRとは？XDRの仕組みと必要とされる背景を解説

XDRの仕組み

XDRソリューションは、アナリストが単一のプラットフォームでエンドポイントの脅威の検出から調査・対応まで、実行できるよう支援することを目的としています。そのためにXDRでは、エンドポイントに加え、ネットワークやクラウド、メール、アイデンティティ（認証）といった様々な領域のセキュリティソリューションから収集したデータを相関づけた上で、脅威の分析を実行し、攻撃の一連の流れを「1つのインシデント」として検出して、アラート通知をおこないます。これにより、アナリストは複数のソリューションを確認することなく、状況を把握し、対策を検討できるようになります。

XDRが必要となる背景

近年、サイバー攻撃の高度化は著しく、マルウェアなどに感染した端末をベースに、複数のエンドポイントサーバーなどの、ネットワークを横断した攻撃が増加しています。そのため、アナリストは、各ソリューションからあがってくる膨大なアラートを関連づけて分析しなければならず、大きな負担となります。また、1つひとつは正常な挙動であり、関連づけて初めて脅威だと検知できるケースもあり、これらをどう検知するかも課題となっていました。

XDRとEDRの違いと共通点

XDRとEDRの違い

冒頭では、XDRはEDRの進化形であると紹介しましたが、その大きな違いは、検出の範囲です。EDRは、基本的にPCやスマートフォン、サーバーといったエンドポイントでの対策にフォーカスしています。エンドポイントで収集したデータを分析し、脅威の可能性があるイベントを検出・調査して、ファイル削除や隔離などの対処までを担い、ランサムウェアなどの巧妙な攻撃も検出できることが特長です。一方、XDRでは、様々なセキュリティソリューションをEDRに統合することで、エンドポイントに限らず、IT環境全体の脅威を検出します。

XDRとEDRの共通点

XDRとEDRには共通点も多くあります。脅威インテリジェンスとふるまい分析による高度な脅威の検出や、リアルタイムでの監視を実現し、効率的な監視から対処までを可能にします。また、高度な検出機能により、誤検知を減らし、アラート自体を削減することで、セキュリティチームの負担を軽減するほか、セキュリティアラートを出すほどではない不審なアクティビティなどを分析する脅威ハンティングも、XDR・EDRともに備える特長といえます。

XDRのメリット

XDRのメリットとしては、脅威の検出から防御までの機能を、向上・最適化できることが挙げられます。機械学習や脅威インテリジェンスによりEDRよりも幅広い攻撃から防御でき、自動対応の機能を搭載していれば、脅威のブロックまで自動化することも可能です。また、エンドポイントとネットワークトラフィックを徹底的に調査・分析することで、根本的な原因を究明でき、複雑な攻撃手法・パターンに対する防御も強化できます。

もう1つ、脅威への対応を効率化できる点も見逃せません。XDRでは、様々なセキュリティツールを統合することで、脅威をより簡単に検出・対応できるようになり、担当者の負担を軽減します。

XDRのユースケース

エンドポイント対策の効果を向上

エンドポイントで検出される脅威も、ほかの領域に痕跡を残しているケースが多くあります。XDRでは、エンドポイントに加えて、ほかのソリューションのデータも含めて分析・調査することで、エンドポイントでの検出の精度、対策の効果を向上させます。

SIEMと連携し、アラートの精度を向上

様々なログから脅威を検出するセキュリティソリューション「SIEM（Security Information and Event Management）」とも連携。XDRにてエンドポイントの脅威に関する分析を担うことで、SIEMでの分析の精度を向上させます。必要なアラートに絞って通知できるようになり、迅速な調査を可能にします。

セキュリティ運用チームの負担を軽減

これまでアナリストが手動でおこなっていた作業の一部を自動化することで、負担を軽減します。アナリストは、優先度の高い業務に集中できるようになります。

XDRソリューション導入時の考慮事項

社内のセキュリティアーキテクチャにおける役割

最初に、XDRをあくまでも「EDRの代替」として活用するのか、脅威の検出から調査、修復まで一連の作業の中心を担う存在とするのか、その役割を明確にする必要があります。

使いやすさと機能の豊富さの、どちらを優先するか

一般的に、設定や操作が容易なツールはアナリストの時間・手間を削減できる一方で、「環境全体のデータを保存できない」「コンプライアンスや監査、不正行為の検出、脅威ハンティングなどの高度な機能を搭載していない」など、機能面で不十分なケースがあります。特に、SOC（Security Operation Center）の主要なツールとして利用する場合には、両者のバランスを事前に検討しておきましょう。

ベンダー独自か、オープンか

XDRソリューションは、ベンダー独自のものとオープンなものの2種類に分けられます。ベンダー独自のソリューションは、ベンダーが展開するソリューションの1つとして提供され、同一ベンダーのほかのソリューションとの連携が容易なものの、ベンダーロックインのリスクがあります。一方、オープンなソリューションは、異なるセキュリティ製品を一元的に管理できることを強みとしています。自社のニーズに、どちらがフィットするのか、を踏まえて選定することが重要です。

ベンダーのサポート

ベンダーのサポート体制も事前に確認すべきポイントです。社内リソースが不足している場合は、マネージド型で提供されるXDRソリューションの利用も有効です。

XDRとSOARの共通点と違い

XDRとSOARの共通点

SOAR（Security Orchestration, Automation and Response）は、セキュリティインシデントへ監視から意思決定、アクションまでのオーケストレーションと自動化を実現するソリューションです。XDRとSOARはどちらも、「複数のセキュリティツールを統合・連携し、対応を自動化する」ソリューションと言えます。脅威への対処は、定型的な作業が多いため、手作業でのタスクを自動化することで、ミス・見落としの防止につながります。

XDRとSOARの違い

XDRとSOARの違いは、自動化の対象にあります。XDRは特定の検知に対する自動化にフォーカスしているのに対し、SOARはインシデント対応全体における自動・手動の対応の管理とオーケストレーションを行います。

XDRとSIEMの違い

収集するデータの対象範囲

「様々なセキュリティソリューションからデータを収集・分析する」という点において、SIEMはXDRと類似していると思われがちですが、SIEMは、より広範なソースからデータを収集できる点が大きく異なります。EDRから進化したXDRは、エンドポイントの脅威の検出に軸を置いており、メールやネットワーク、クラウドなどの関連するソリューションのデータのみを統合対象としています。これに対し、SIEMでは、インフラ内のあらゆるソリューションから脅威の検出に必要なデータを収集します。

未知の脅威・高度な脅威・不正行為の調査への対応

対象とするデータが限られることから、複数のシステム・ソリューションにまたがって調査する必要のある、未知の脅威・高度な脅威・不正行為の調査では、XDRでは対処しきれないケースがあります。

データの保存期間

PCI DSSやNIST CSF、GDPR、HIPAA、SOXなどでは、セキュリティイベントなどのデータ保持が義務づけられていますが、XDRでは、データを長期間保存することができず、監査要件を満たすためにデータ保存を別途、検討する必要があります。これに対し、SIEMは、継続的な監視・分析・可視化・リアルタイムでの脅威の検出・アラートのほか、ログの管理まで含めて、監査要件に対応する機能を提供します。

導入の容易さ

一般的に、XDRの方がSIEMよりも導入のハードルが低くなります。XDRは、エンドポイントの脅威の検出にフォーカスすることで、比較的シンプルで使いやすく、設定や管理が容易です。

結論：セキュリティ運用を大きく進化させるXDR

企業の本来の目的は、特定のツールの導入ではなく、脅威を検出し、適切に対処できる環境を整えることにあります。SIEMやSOARなど、様々なセキュリティソリューションが登場するなか、XDRも、その一角を占める存在として、今後のセキュリティ運用プラットフォームに統合されていくと考えられます。機械学習や脅威インテリジェンスを活用した脅威への対応や、詳細なデータ分析による脅威の根本原因の究明など、XDRが受け継いだ役割は、次世代のセキュリティ運用を大きく進化させると期待されます。