XDRはセキュリティ対策のひとつで、EDRの進化形ともいわれています。XDRの導入により、統合的で一貫したセキュリティアプローチが可能になるとされています。では、以前からセキュリティ対策で利用されてきたEDRやSIEMとはどう違うのでしょうか。本記事では、XDRの概要や従来のサイバーセキュリティとの違い、メリットや導入のポイントなどを紹介します。
XDRとは
XDRとは、「Extended Detection and Response」の略語で、エンドポイントの監視を強化するEDRの機能を拡張したものといえます。XDRではエンドポイントだけでなく、ネットワークやアプリケーション、メール、データセンターなどさまざまな場所のデータを統合的に監視できるのが特徴です。そのため、システム全体を通じてサイバー攻撃などの脅威を検知したり防止したりするセキュリティ対策として使われています。
XDRは、2018年に生まれた新しいサイバーセキュリティ対策です。XDRの定義は一律ではありませんが、セキュリティマネジメントに詳しいガートナー社によると「複数のセキュリティ製品をネイティブに統合し、ライセンスされたすべてのコンポーネントを統合した一貫性のあるセキュリティオペレーションシステムを実現する、SaaSベースかつベンダーに固有のセキュリティ脅威検知およびインシデント対応ツール」だとされています。
XDRは複数のセキュリティ対策を統合する司令塔のような役割をするツールだと考えるといいでしょう。さらに、SaaSをベースとしていることから、クラウド上で提供されるサービスであり、ベンダー側でのセキュリティアップデートが随時行いやすいことも特徴です。単にセキュリティ対策を統合し検知能力をアップするだけでなく、日々変わっていく脅威への早期対応や導入コストの削減というメリットもあります。
XDRとゼロトラスト
ゼロトラストとは、トラスト(信用)がゼロの状態からスタートするという意味で、何も信用しないことをベースとし、あらゆる事象やデータの信頼性を検証することを指します。ゼロトラストを実現するための理想の状況とされるのが、次のような要件を満たした状態です。
- すべてのリソースは場所を問わず、安全な方法でアクセスできる
- アクセス制御を役割に応じて厳密に実施する
- すべてのトラフィックログを記録・確認する
XDRはこのゼロトラストの考え方をもとに、各デバイスなどのエンドポイントやネットワーク、アプリケーションを検証します。
従来のサイバーセキュリティとはどう違う?
XDRが従来のサイバーセキュリティと大きく異なるポイントとして、これまで複数のセキュリティ対策がバラバラに行っていた検知や防止を統合し、ネットワークから各デバイス(エンドポイント)までのすべてを一貫して監視できることが挙げられます。
XDRとEDRの違い
前章で触れたように、XDRはEDRを拡張したセキュリティ対策だとされています。EDRはエンドポイント、すなわち各デバイスやサーバーなどを監視することで、マルウェアの感染やサイバー攻撃などのログを素早く検知し、解析します。一方、XDRはエンドポイントだけでなく、ネットワークやアプリケーション、メールなどワークロードを一貫して監視します。
EDRについて、詳しくは以下の記事で解説しています
「【ナレッジコラム】EDRとは?その概要やメリットからEDR製品選定のポイントまでを紹介」
XDRとSIEMの違い
SIEM(Security Information and Event Management/シーム)は、システム環境全体のイベントログ情報を収集し、集約・統合した情報を相関分析するフレームワークです。XDRが統合的に全体を俯瞰して解析するセキュリティ対策であるとすれば、SIEMは各ポイントで見つかるエラーを集約したのち統合・分析するセキュリティ対策です。XDRはSIEMの代わりになるものではなく、SIEMを強化するツールだともいわれています。
SIEMについて、詳しくは以下の記事で解説しています。
「【ナレッジコラム】SIEMとは?セキュリティ運用や管理に必要な機能、メリット・デメリットを解説」
XDRが注目され始めた背景
XDRが注目され始めた背景として、次の3つが挙げられます。
-
セキュリティ対策の多様化、進化
セキュリティ対策が進化したことで、多くの脅威を検知できるようになりました。そのため、個別のアラートが増えすぎてしまいました。アラートが増加すればするほど、セキュリティ担当者の負荷は増えます。アラートのなかには単なるイレギュラーでありセキュリティ脅威に含まれないものも多く存在するため、XDRによる統合的なアプローチや優先順位づけが必要とされているのです。
-
アラートやアクティビティの可視化を統一
セキュリティ対策がバラバラだと、収集・分析されるデータはさまざまで、見え方も異なります。そこで、XDRの統合的なアプローチにより、見え方を統一することで重要度や対策もワークロードのすべてにおいて同じレベルで行えるようになります。
-
大量のアラートにより検知・対応時間が遅くなっている
セキュリティ対策が多様化、進化したことで検知されるイレギュラーが増えたことは、対応時間の遅れも引き起こしました。アラートを分析するにも、優先順位をつけて対応するにも時間がかかるようになってしまいました。そのような場合にXDRで俯瞰的に全体を監視し、検知・分析して優先順位をつける時間を早めることで、より素早い対応が可能となります。
XDRのメリット
XDRのメリットとして、次の3つがあります
-
エンドポイントを超えた監視ができる
XDRでは、単純にネットワークやアプリケーション、メール、データセンターなどさまざまなエンドポイントにおけるサイバーセキュリティの脅威を監視するだけでなく、それらのデータを統合したアプローチができます。これにより、各エンドポイントを統合するための手作業を減らし、自動化・合理化が可能になります。業務プロセスやアプリケーションが孤立してしまう「サイロ化」の防止にもなるでしょう。
-
セキュリティ対策を統一できる
従来のセキュリティ対策では、異なるベンダーが提供する多くのセキュリティツールを利用することもありました。しかし、それでは運用が煩雑になってしまい、かえって非効率になる懸念もあります。XDRを使えば、ネットワークからエンドポイントまでの各種ログを1つのセキュリティ対策で把握できます。なお、全体の状況を俯瞰的かつスムーズに知ることができるため、効率的なセキュリティ運用も可能です。
-
セキュリティ対策の迅速化
複数箇所で多くのアラートが発生しても、広い範囲の情報を一括収集・相関分析することにより、迅速に全体の攻撃を可視化できます。効率的に脅威の優先順位づけができるため、素早い対応ができるようになるでしょう。
XDRを導入する際のポイント
XDRを導入する際には、以下の2つのポイントに注意しましょう。
-
ネットワーク部門とセキュリティ部門の連携
XDRはネットワークからエンドポイントまでを統合的に監視するセキュリティ対策です。そのため、ネットワーク部門とセキュリティ部門が分かれている場合は、いざというときスムーズに連携がとれるようにしておくことが重要です。
-
導入後、検知や分析に対する対応の取り決め
XDRは検知と防止の両方が可能で、状況認識に優れたセキュリティ対策です。しかし、その後の対応には人手または別のセキュリティ対策が必要です。ある検知や分析に対して、あるいは優先順位によってどのような対応を行うのか、導入の際にしっかり決めておく必要があります。
XDRで全体を効率よく把握し、セキュリティ対策を強化しよう
XDRはネットワークからエンドポイントまでを統合的に監視し、全体の状況を俯瞰的に把握できるセキュリティ対策です。エンドポイントをピンポイントで監視するEDRの拡張版ともいわれており、個別のセキュリティツールでバラバラに管理していたデータやログを一元化でき、素早い対応が可能になるのが大きなメリットです。なお、XDRを導入する際には、各部署の連携や導入後の対応などをしっかり決めておきます。対応を決めておくことで、よりXDRのメリットを生かした運用ができることでしょう。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
