サイバー攻撃の高度化を追いかけるようにセキュリティ対策も進化するなか、より効果的に対策するためのソリューションとして登場した「XDR」について、基本的な仕組みやメリット、ユースケースから既存セキュリティ製品との違いまで、詳しく解説します。
XDR(Extended Detection and Response:拡張検出・対応)とは、組織のIT環境全体を包括的に保護することを目的とした脅威検出アプローチのことで、エンドポイントベースでセキュリティ脅威を検出・阻止するEDR(Endpoint Detection and Response)の進化形と言えます。
EDRプラットフォームでは、主にエンドポイントにエージェントをインストールしてデータを収集し、攻撃の検出や対応をおこないますが、近年、IoTやサーバーレスアプリケーションなど、エージェントが利用できない新しい形態のエンドポイントが増加し、これらへの対策が課題となっていました。また、競争の激しいEDRソリューション市場において、ベンダー各社が精度の向上や機能の拡張などの開発を強化しており、その結果として生まれたのがXDRです。
XDRは、EDRをベースとしつつも、エンドポイントのデータに限定せず、ネットワークやクラウド、SaaS、メールなどのセキュリティソリューションのログと統合している点が大きく異なります。これにより、エンドポイントにおける脅威検出の精度向上だけではなく、エンドポイント以外の脅威の検出、さらに複数の対策を連携するなども可能になりました。
XDRソリューションは、アナリストが単一のプラットフォームでエンドポイントの脅威の検出から調査・対応まで、実行できるよう支援することを目的としています。そのためにXDRでは、エンドポイントに加え、ネットワークやクラウド、メール、アイデンティティ(認証)といった様々な領域のセキュリティソリューションから収集したデータを相関づけた上で、脅威の分析を実行し、攻撃の一連の流れを「1つのインシデント」として検出して、アラート通知をおこないます。これにより、アナリストは複数のソリューションを確認することなく、状況を把握し、対策を検討できるようになります。
近年、サイバー攻撃の高度化は著しく、マルウェアなどに感染した端末をベースに、複数のエンドポイントサーバーなどの、ネットワークを横断した攻撃が増加しています。そのため、アナリストは、各ソリューションからあがってくる膨大なアラートを関連づけて分析しなければならず、大きな負担となります。また、1つひとつは正常な挙動であり、関連づけて初めて脅威だと検知できるケースもあり、これらをどう検知するかも課題となっていました。
冒頭では、XDRはEDRの進化形であると紹介しましたが、その大きな違いは、検出の範囲です。EDRは、基本的にPCやスマートフォン、サーバーといったエンドポイントでの対策にフォーカスしています。エンドポイントで収集したデータを分析し、脅威の可能性があるイベントを検出・調査して、ファイル削除や隔離などの対処までを担い、ランサムウェアなどの巧妙な攻撃も検出できることが特長です。一方、XDRでは、様々なセキュリティソリューションをEDRに統合することで、エンドポイントに限らず、IT環境全体の脅威を検出します。
XDRとEDRには共通点も多くあります。脅威インテリジェンスとふるまい分析による高度な脅威の検出や、リアルタイムでの監視を実現し、効率的な監視から対処までを可能にします。また、高度な検出機能により、誤検知を減らし、アラート自体を削減することで、セキュリティチームの負担を軽減するほか、セキュリティアラートを出すほどではない不審なアクティビティなどを分析する脅威ハンティングも、XDR・EDRともに備える特長といえます。
XDRのメリットとしては、脅威の検出から防御までの機能を、向上・最適化できることが挙げられます。機械学習や脅威インテリジェンスによりEDRよりも幅広い攻撃から防御でき、自動対応の機能を搭載していれば、脅威のブロックまで自動化することも可能です。また、エンドポイントとネットワークトラフィックを徹底的に調査・分析することで、根本的な原因を究明でき、複雑な攻撃手法・パターンに対する防御も強化できます。
もう1つ、脅威への対応を効率化できる点も見逃せません。XDRでは、様々なセキュリティツールを統合することで、脅威をより簡単に検出・対応できるようになり、担当者の負担を軽減します。
エンドポイントで検出される脅威も、ほかの領域に痕跡を残しているケースが多くあります。XDRでは、エンドポイントに加えて、ほかのソリューションのデータも含めて分析・調査することで、エンドポイントでの検出の精度、対策の効果を向上させます。
様々なログから脅威を検出するセキュリティソリューション「SIEM(Security Information and Event Management)」とも連携。XDRにてエンドポイントの脅威に関する分析を担うことで、SIEMでの分析の精度を向上させます。必要なアラートに絞って通知できるようになり、迅速な調査を可能にします。
これまでアナリストが手動でおこなっていた作業の一部を自動化することで、負担を軽減します。アナリストは、優先度の高い業務に集中できるようになります。
最初に、XDRをあくまでも「EDRの代替」として活用するのか、脅威の検出から調査、修復まで一連の作業の中心を担う存在とするのか、その役割を明確にする必要があります。
一般的に、設定や操作が容易なツールはアナリストの時間・手間を削減できる一方で、「環境全体のデータを保存できない」「コンプライアンスや監査、不正行為の検出、脅威ハンティングなどの高度な機能を搭載していない」など、機能面で不十分なケースがあります。特に、SOC(Security Operation Center)の主要なツールとして利用する場合には、両者のバランスを事前に検討しておきましょう。
XDRソリューションは、ベンダー独自のものとオープンなものの2種類に分けられます。ベンダー独自のソリューションは、ベンダーが展開するソリューションの1つとして提供され、同一ベンダーのほかのソリューションとの連携が容易なものの、ベンダーロックインのリスクがあります。一方、オープンなソリューションは、異なるセキュリティ製品を一元的に管理できることを強みとしています。自社のニーズに、どちらがフィットするのか、を踏まえて選定することが重要です。
ベンダーのサポート体制も事前に確認すべきポイントです。社内リソースが不足している場合は、マネージド型で提供されるXDRソリューションの利用も有効です。
SOAR(Security Orchestration, Automation and Response)は、セキュリティインシデントへ監視から意思決定、アクションまでのオーケストレーションと自動化を実現するソリューションです。XDRとSOARはどちらも、「複数のセキュリティツールを統合・連携し、対応を自動化する」ソリューションと言えます。脅威への対処は、定型的な作業が多いため、手作業でのタスクを自動化することで、ミス・見落としの防止につながります。
XDRとSOARの違いは、自動化の対象にあります。XDRは特定の検知に対する自動化にフォーカスしているのに対し、SOARはインシデント対応全体における自動・手動の対応の管理とオーケストレーションを行います。
「様々なセキュリティソリューションからデータを収集・分析する」という点において、SIEMはXDRと類似していると思われがちですが、SIEMは、より広範なソースからデータを収集できる点が大きく異なります。EDRから進化したXDRは、エンドポイントの脅威の検出に軸を置いており、メールやネットワーク、クラウドなどの関連するソリューションのデータのみを統合対象としています。これに対し、SIEMでは、インフラ内のあらゆるソリューションから脅威の検出に必要なデータを収集します。
対象とするデータが限られることから、複数のシステム・ソリューションにまたがって調査する必要のある、未知の脅威・高度な脅威・不正行為の調査では、XDRでは対処しきれないケースがあります。
PCI DSSやNIST CSF、GDPR、HIPAA、SOXなどでは、セキュリティイベントなどのデータ保持が義務づけられていますが、XDRでは、データを長期間保存することができず、監査要件を満たすためにデータ保存を別途、検討する必要があります。これに対し、SIEMは、継続的な監視・分析・可視化・リアルタイムでの脅威の検出・アラートのほか、ログの管理まで含めて、監査要件に対応する機能を提供します。
一般的に、XDRの方がSIEMよりも導入のハードルが低くなります。XDRは、エンドポイントの脅威の検出にフォーカスすることで、比較的シンプルで使いやすく、設定や管理が容易です。
企業の本来の目的は、特定のツールの導入ではなく、脅威を検出し、適切に対処できる環境を整えることにあります。SIEMやSOARなど、様々なセキュリティソリューションが登場するなか、XDRも、その一角を占める存在として、今後のセキュリティ運用プラットフォームに統合されていくと考えられます。機械学習や脅威インテリジェンスを活用した脅威への対応や、詳細なデータ分析による脅威の根本原因の究明など、XDRが受け継いだ役割は、次世代のセキュリティ運用を大きく進化させると期待されます。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。