公開日:2022年4月1日
XDR (Extended Detection and Response:拡張検出/対応)とは、組織のIT環境全体を包括的に保護することを目的とした、エンドポイントベースの脅威検出アプローチを指します。
XDRは、XDRセキュリティとも呼ばれ、エンドポイントベースでセキュリティ脅威を検出、阻止するための業界標準であるEDR (Endpoint Detection and Response:エンドポイント検出/対応)の進化形です。EDRはもともと、エンドポイントデバイスでファイルシグネチャやヒューリスティックを使用した従来のマルウェア検出を回避する脅威への対抗策として生まれました。脅威ハンティングツールを追加することで、それ以前のEPP (Endpoint Protection Platform:エンドポイント保護プラットフォーム)ソリューションを強化し、リアルタイムのフォレンジック調査を可能にしました。
EDRプラットフォームでは主に、EDRエージェントでエンドポイントのデータを収集し、中央からの指示を実行して、攻撃の検出と対応を行います。しかし近年、IoT (モノのインターネット)やサーバーレスアプリケーションなど、エージェントの導入が難しい新たな形態のエンドポイントが誕生しています。また、EDRソリューション市場は参入が相次ぎ、競争が激しさを増しています。こうした状況に対応するために、EDRベンダーが検出精度の向上と製品の差別化に取り組んだ結果として生まれたのがXDRソリューションです。
XDRテクノロジーはEDRをベースにしていますが、エンドポイントからテレメトリを収集し、エンドポイント以外(ネットワーク、クラウド、SaaS、メールなど)のセキュリティソリューションからのログと統合する点で進化しています。特にこのアプローチには、エンドポイント検出の検証と精度向上、エンドポイント以外の脅威の検出、複数の対策の連携という大きなメリットがあります。初期のXDRソリューションは「クローズ」または「ネイティブ」なXDRとも呼ばれ、既存のセキュリティソリューションを1つのポートフォリオにまとめただけのものでした。その目的は、可視化を強化し、高度な脅威に関するより詳細なコンテキストを提供することで、組織がセキュリティイベントを検出し、対策を実行して、問題の影響の広がりと深刻化を抑えられるようにすることでした。
以下では、XDRソリューションの仕組み、メリット、制限、他のセキュリティソリューションとの違いについて説明します。