XDRとは？

XDRソリューションの目的は、アナリストが単一のプラットフォームでエンドポイントの脅威の検出、調査、対応を実行できるように支援することです。特に、セキュリティ脅威のトリアージ、検証、対応時に通常行うステップを効率化できます。

XDRソリューション、またはXDRプラットフォームは、統合されたセキュリティソリューションからデータを取り込み、脅威分析を実行して、各ソリューションを連携した対策を実行します。エンドポイント、ネットワーク、クラウド、メール、アイデンティティといったさまざまなソースから収集したデータを相関付けることで、複合的な証拠を検出し、単一のインシデントにまとめて、高精度なアラートを生成します。これにより、アナリストは、複数のコンソールやソリューションを切り替えることなくアラートをトリアージし、対策を検討できます。

XDRソリューションの脅威対応機能では、統合が大きな鍵を握ります。脅威が確認されると、あらかじめ設定された対応により、XDRと統合した各種のソリューションをまたいでデータが相関付けられ、対策が実行されます。そのため、アナリストは、エンドツーエンドでトリアージ、検証、対応を指示できます。

XDRソリューションには欠点もあります。それは、高精度な検出と内蔵の対応機能を実現するために連携できるソリューションと分析対象となるデータセットが制限されることです。そのため、既存のセキュリティソリューションと連携できなかったり、新しいセキュリティソリューションを選ぶ際に制約が生じたりします。また、特にXDRを主要なセキュリティ運用プラットフォームとして使用する場合は、監視の盲点が生まれる可能性もあります。

XDRは、SOC (セキュリティオペレーションセンター)のいくつかのユースケースに対応します。

• エンドポイントでの検出と対応の効果向上：脅威が最初に検出されるのはエンドポイントかもしれませんが、通常は他のソリューションにも攻撃の手がかりが残されます。XDRでは、エンドポイントでの検出と対応の効果を向上させて、攻撃をより確実に検出、阻止できます。
• SIEMへの高精度なテレメトリの提供：XDRツールは、高度なエンドポイント脅威検出に重要ないくつかのタスクを担い、SIEMに高精度なアラートを提供します。これにより、アラート数を減らして調査を迅速化し、XDRによる分析データを活用してさらに多くの脅威を検出できます。
• 小規模セキュリティ運用チームのサポート：XDRソリューションを使用すると、今日多くのアナリストが手動で実行している証拠収集と対応手順の一部を自動化できます。手作業を減らして負担を軽減することにより、セキュリティ運用チームはより大規模で優先度の高い脅威の検出と対応に集中できます。

XDRツールはSIEM (セキュリティインシデント/イベント管理)ソリューションと一見似ているかもしれません。どちらも、組織のセキュリティスタック全体からテレメトリ(データ)を取り込んで、既知の脅威や未知の脅威の検出精度を高める点は同じです。しかし、この2つのテクノロジーには大きく異なる点がいくつかあります。

最も大きな違いは、XDRツールではその本来の機能を実行するために取り込めるデータに制限があるのに対して、SIEMソリューションでは基本的にあらゆるソースからデータを取り込める点です。XDRはEDRを起源としているため、XDRツールで取り込まれるデータは、エンドポイント脅威検出の範囲拡大と精度向上に必要なものだけです。そのため、統合の対象になるのは、メール、ネットワーク、クラウドワークロードなど、いずれもエンドポイント自体かそれに隣接するテクノロジーです。  これらのソリューションから収集された情報に基づいて、エンドポイントの脅威の真偽が判断されます。一方、SIEMプラットフォームでは、脅威検出のためのデータがインフラ内のあらゆるシステムから取り込まれます。

SIEMとXDRのもう1つの大きな違いは、XDRツールは未知の脅威、高度な脅威、不正行為の調査にはあまり適していない点です。これらの調査は複数のシステムやソリューションにまたがりがちで、攻撃者が検出を回避するために創意工夫を凝らすため、思いがけない場所に手がかりが残されていることもよくあります。対応していないデータ形式があると、攻撃の痕跡をたどって全体像をつかむ上で行き詰まる可能性があります。

さらに、XDRソリューションはSIEMと異なり、データを長期間保存できません。そもそもその機能がないか、パフォーマンス上の制約でデータを長期間保持できません。そのため、企業に求められるコンプライアンスや監査要件を満たすにはデータを別の場所に保存する必要があります。PCI DSS、NIST CSF、GDPR、HIPAA、SOXなどの法規制では、通常、データ漏えいのリスクを低減するために、さまざまなセキュリティコントロールの実装、重要なビジネスイベントの追跡、セキュリティ脅威への対応計画の作成、すべてのセキュリティイベントとその対処方法に関する詳細記録の保持といった義務が課されます。この点でSIEMは、継続的な監視、ログの管理、分析、可視化、リアルタイムの脅威検出とアラートなど、これらの要件の遵守に役立つ機能を備えています。

一方で、XDRツールには、従来型のSIEMプラットフォームにはない脅威対応機能があります。また、一般的に、XDRツールの方がSIEMプラットフォームよりも導入と運用が簡単です。  統合できるソリューションに制限があることで、ベンダーは使いやすい統合機能を実装でき、その結果、XDRの設定と管理が容易になります。

XDRはEDR (エンドポイント検出/対応)とMDR (Managed Detection and Response：マネージド型検出/対応)の進化形です。EDRソリューションは、組織のネットワークに接続するデバイス(PC、スマートフォン、サーバー、IoTデバイスなど)にインストールされます。その検出機能により、まず、エンドポイントからセキュリティ関連のデータが収集、分析されて、脅威の可能性があるイベントが検出されます。検出されたイベントは封じ込められ、調査されて、実際に脅威であった場合はファイル削除やネットワークブロックなどの修正措置が実行されます。EDRではランサムウェアなどの巧妙な脅威も検出できるため、エンドポイントまでの防御をすり抜けた脅威を検出して対応するための最後の砦となることがよくあります。

XDRでは、IAM (アイデンティティ/アクセス管理)など他のセキュリティプロセスとEDRを統合し、検出精度を向上させ、検出範囲をエンドポイントだけでなくIT環境全体に拡大できます。

XDRとEDRには以下の共通点があります。

• 高度な脅威検出：脅威インテリジェンスと振る舞い分析を使用して、ウイルス対策を回避できる巧妙でステルス性の高い脅威の検出と対応をエンドポイントで集中的に実行できます。
• リアルタイム監視：単一のデータレイクに継続的にデータを収集して分析し、セキュリティイベントをより効率的に監視、検出、トリアージできます。
• アラートの削減：プロアクティブで高度な検出機能を備え、誤検知が少ないため、セキュリティチームは過剰なアラートへの対応に時間を費やすことなく、脅威により迅速に対応できます。
• 脅威ハンティング：セキュリティアラートの引き金にならなかったネットワーク内の不審なアクティビティや悪質なアクティビティの証拠をプロアクティブに分析できます。

こうした共通点があるため、ベンダーによっては既存のEDRソリューションを何も変更せずに「XDRソリューション」と呼び変えるだけの場合もあります。しかし、XDRの目的は、エンドポイントだけでなく複数のテレメトリソースを対象に統合的な検出と対応機能を提供することです。

XDRには、SOAR (セキュリティのオーケストレーションと自動化によるレスポンス)プラットフォームと共通する機能もありますが、大きく異なる点がいくつかあります。

SOARとXDRはどちらも、さまざまなセキュリティツールを統合して連携による自動対応を実現する点で共通しています。脅威対応は手動による定型的な作業になりがちなので、自動化の効果があります。また、手動タスクを自動化すれば、アナリストが難しい判断や問題解決が必要な他の業務に集中できると同時に、手動の脅威対応で起こりがちなミスや見落としを事実上排除できます。

これらの目的は共通する一方で、SOARとXDRには重要な違いがいくつかあります。まず、SOARでは自動化に重点が置かれ、プレイブックを使用したインシデント対応手順のオーケストレーションと自動化が大きな役割を果たします。これに対してXDRでは、通常、受信データの分析に基づく単一アクションのみが自動化されます。また、SOARは、できるだけ多くのツールとポイントソリューションを統合することを目的としています。これに対してXDRは、通常、単一ベンダーの異なるツールの集合体であり、そのすべてをまとめて導入する必要があります。

XDRソリューションは、さまざまな点でEDRソリューションから進化しています。

• 検出と防止機能の向上：機械学習と脅威インテリジェンスを活用して、既存のEDRツールよりも幅広い攻撃に対して防御を最適化できます。自動対応機能があるXDRソリューションであれば、脅威を検出と同時にブロックすることも可能です。
• 高度な脅威に対する防御の強化：XDRでは、エンドポイントとネットワークトラフィックを徹底的に調査して傾向を分析し、脆弱性の根本原因を究明できるため、アナリストやセキュリティ担当者は、高度な攻撃で使われる複雑なパターンやテクニックを特定できます。
• 対応の効率向上：XDRでは詳細なデータが収集、分析されるため、セキュリティチームは攻撃ベクトルを追跡し、脅威の展開方法を理解して、環境内の脅威をより簡単に検出できます。エンドポイントセキュリティ以外のツールを統合することで、セキュリティ担当者に負担をかけることなく、より包括的で連携した対応を実現できます。

XDRソリューションの導入を検討する際に考慮すべき重要事項がいくつかあります。

• 組織のセキュリティアーキテクチャでの役割：XDRソリューションをEDRの代わりとして使用するか、脅威の検出、調査、修復タスクの中心に据えるかを決めます。
• 使いやすさと包括的な検出機能のどちらを優先するか：XDRをSOCの主要な脅威検出/対応プラットフォームとして使用する場合は、このトレードオフについて検討する必要があります。設定が容易で使いやすいXDRツールでは、単一のコンソールで検出、調査、対応が可能なため、脅威の検出と対応を担当するSOCアナリストの時間と手間を省くことができます。ただし、環境全体からデータを取り込んで保存することができないため、脅威を見逃したり、新しい脅威や進化する脅威を十分に調査できなかったりして、脅威が未検出のまま潜伏期間が長くなる可能性があります。また、コンプライアンスと監査、不正行為の検出、脅威ハンティングに関する重要機能を備えていない場合もあります。
• ベンダー独自かオープンか：XDRソリューションはベンダー独自のものとオープンなものに大きく分けられます。ベンダー独自のXDRソリューションは、ベンダーが提供する管理プラットフォームを中心に統合するさまざまなネットワークソリューションの1つとして提供されます。このタイプのソリューションは連携に優れますが、場合によっては現在のツールから乗り換える必要があり、単一ベンダーにロックインされるリスクもあります。これに対してオープンなXDRソリューションでは、異なるセキュリティ製品が一元的な管理インターフェイスにまとめられます。どちらが組織にとって最適かを判断するときは、組織のニーズとリソースをよく検討することが重要です。
• ベンダーのサポート：新しいテクノロジーを導入する場合、当初は軽微な問題が起こりがちですが、XDRベンダーのサポートがあればすばやく対処して、早期にメリットを実感できます。リソースが限られる場合は、多くのベンダーが提供するマネージド型のXDRサービスを利用する方法もあります。

組織に必要なのは、単にツールやテクノロジーではなく、脅威の検出、調査、修復を強化するための解決策です。今日のセキュリティプラットフォームは、SIEM、SOAR、UEBAなど、さまざまなツールで構成されるため、XDRソリューション、少なくともその機能の一部がセキュリティ運用プラットフォームの次の進化として統合されることはほぼ確実でしょう。XDRでは、機械学習と脅威インテリジェンスを活用することで、既存のEDRツールよりも幅広い脅威に対応できます。また、詳細なデータ分析により、攻撃ベクトルを追跡し、高度な脅威の根本原因と進化に関するインサイトを得ることも可能です。そのため、XDRが受け継いでいる恒久的な役割は、次世代のセキュリティ運用プラットフォームを大きく進歩させる可能性があります。