公開日:2022年4月1日
XDR (Extended Detection and Response:拡張検出/対応)とは、組織のIT環境全体を包括的に保護することを目的とした、エンドポイントベースの脅威検出アプローチを指します。
XDRは、XDRセキュリティとも呼ばれ、エンドポイントベースでセキュリティ脅威を検出、阻止するための業界標準であるEDR (Endpoint Detection and Response:エンドポイント検出/対応)の進化形です。EDRはもともと、エンドポイントデバイスでファイルシグネチャやヒューリスティックを使用した従来のマルウェア検出を回避する脅威への対抗策として生まれました。脅威ハンティングツールを追加することで、それ以前のEPP (Endpoint Protection Platform:エンドポイント保護プラットフォーム)ソリューションを強化し、リアルタイムのフォレンジック調査を可能にしました。
EDRプラットフォームでは主に、EDRエージェントでエンドポイントのデータを収集し、中央からの指示を実行して、攻撃の検出と対応を行います。しかし近年、IoT (モノのインターネット)やサーバーレスアプリケーションなど、エージェントの導入が難しい新たな形態のエンドポイントが誕生しています。また、EDRソリューション市場は参入が相次ぎ、競争が激しさを増しています。こうした状況に対応するために、EDRベンダーが検出精度の向上と製品の差別化に取り組んだ結果として生まれたのがXDRソリューションです。
XDRテクノロジーはEDRをベースにしていますが、エンドポイントからテレメトリを収集し、エンドポイント以外(ネットワーク、クラウド、SaaS、メールなど)のセキュリティソリューションからのログと統合する点で進化しています。特にこのアプローチには、エンドポイント検出の検証と精度向上、エンドポイント以外の脅威の検出、複数の対策の連携という大きなメリットがあります。初期のXDRソリューションは「クローズ」または「ネイティブ」なXDRとも呼ばれ、既存のセキュリティソリューションを1つのポートフォリオにまとめただけのものでした。その目的は、可視化を強化し、高度な脅威に関するより詳細なコンテキストを提供することで、組織がセキュリティイベントを検出し、対策を実行して、問題の影響の広がりと深刻化を抑えられるようにすることでした。
以下では、XDRソリューションの仕組み、メリット、制限、他のセキュリティソリューションとの違いについて説明します。
XDRソリューションの目的は、アナリストが単一のプラットフォームでエンドポイントの脅威の検出、調査、対応を実行できるように支援することです。特に、セキュリティ脅威のトリアージ、検証、対応時に通常行うステップを効率化できます。
XDRソリューション、またはXDRプラットフォームは、統合されたセキュリティソリューションからデータを取り込み、脅威分析を実行して、各ソリューションを連携した対策を実行します。エンドポイント、ネットワーク、クラウド、メール、アイデンティティといったさまざまなソースから収集したデータを相関付けることで、複合的な証拠を検出し、単一のインシデントにまとめて、高精度なアラートを生成します。これにより、アナリストは、複数のコンソールやソリューションを切り替えることなくアラートをトリアージし、対策を検討できます。
XDRソリューションの脅威対応機能では、統合が大きな鍵を握ります。脅威が確認されると、あらかじめ設定された対応により、XDRと統合した各種のソリューションをまたいでデータが相関付けられ、対策が実行されます。そのため、アナリストは、エンドツーエンドでトリアージ、検証、対応を指示できます。
XDRソリューションには欠点もあります。それは、高精度な検出と内蔵の対応機能を実現するために連携できるソリューションと分析対象となるデータセットが制限されることです。そのため、既存のセキュリティソリューションと連携できなかったり、新しいセキュリティソリューションを選ぶ際に制約が生じたりします。また、特にXDRを主要なセキュリティ運用プラットフォームとして使用する場合は、監視の盲点が生まれる可能性もあります。
XDRは、SOC (セキュリティオペレーションセンター)のいくつかのユースケースに対応します。
XDRツールはSIEM (セキュリティインシデント/イベント管理)ソリューションと一見似ているかもしれません。どちらも、組織のセキュリティスタック全体からテレメトリ(データ)を取り込んで、既知の脅威や未知の脅威の検出精度を高める点は同じです。しかし、この2つのテクノロジーには大きく異なる点がいくつかあります。
最も大きな違いは、XDRツールではその本来の機能を実行するために取り込めるデータに制限があるのに対して、SIEMソリューションでは基本的にあらゆるソースからデータを取り込める点です。XDRはEDRを起源としているため、XDRツールで取り込まれるデータは、エンドポイント脅威検出の範囲拡大と精度向上に必要なものだけです。そのため、統合の対象になるのは、メール、ネットワーク、クラウドワークロードなど、いずれもエンドポイント自体かそれに隣接するテクノロジーです。 これらのソリューションから収集された情報に基づいて、エンドポイントの脅威の真偽が判断されます。一方、SIEMプラットフォームでは、脅威検出のためのデータがインフラ内のあらゆるシステムから取り込まれます。
SIEMとXDRのもう1つの大きな違いは、XDRツールは未知の脅威、高度な脅威、不正行為の調査にはあまり適していない点です。これらの調査は複数のシステムやソリューションにまたがりがちで、攻撃者が検出を回避するために創意工夫を凝らすため、思いがけない場所に手がかりが残されていることもよくあります。対応していないデータ形式があると、攻撃の痕跡をたどって全体像をつかむ上で行き詰まる可能性があります。
さらに、XDRソリューションはSIEMと異なり、データを長期間保存できません。そもそもその機能がないか、パフォーマンス上の制約でデータを長期間保持できません。そのため、企業に求められるコンプライアンスや監査要件を満たすにはデータを別の場所に保存する必要があります。PCI DSS、NIST CSF、GDPR、HIPAA、SOXなどの法規制では、通常、データ漏えいのリスクを低減するために、さまざまなセキュリティコントロールの実装、重要なビジネスイベントの追跡、セキュリティ脅威への対応計画の作成、すべてのセキュリティイベントとその対処方法に関する詳細記録の保持といった義務が課されます。この点でSIEMは、継続的な監視、ログの管理、分析、可視化、リアルタイムの脅威検出とアラートなど、これらの要件の遵守に役立つ機能を備えています。
一方で、XDRツールには、従来型のSIEMプラットフォームにはない脅威対応機能があります。また、一般的に、XDRツールの方がSIEMプラットフォームよりも導入と運用が簡単です。 統合できるソリューションに制限があることで、ベンダーは使いやすい統合機能を実装でき、その結果、XDRの設定と管理が容易になります。
XDRはEDR (エンドポイント検出/対応)とMDR (Managed Detection and Response:マネージド型検出/対応)の進化形です。EDRソリューションは、組織のネットワークに接続するデバイス(PC、スマートフォン、サーバー、IoTデバイスなど)にインストールされます。その検出機能により、まず、エンドポイントからセキュリティ関連のデータが収集、分析されて、脅威の可能性があるイベントが検出されます。検出されたイベントは封じ込められ、調査されて、実際に脅威であった場合はファイル削除やネットワークブロックなどの修正措置が実行されます。EDRではランサムウェアなどの巧妙な脅威も検出できるため、エンドポイントまでの防御をすり抜けた脅威を検出して対応するための最後の砦となることがよくあります。
XDRでは、IAM (アイデンティティ/アクセス管理)など他のセキュリティプロセスとEDRを統合し、検出精度を向上させ、検出範囲をエンドポイントだけでなくIT環境全体に拡大できます。
XDRとEDRには以下の共通点があります。
こうした共通点があるため、ベンダーによっては既存のEDRソリューションを何も変更せずに「XDRソリューション」と呼び変えるだけの場合もあります。しかし、XDRの目的は、エンドポイントだけでなく複数のテレメトリソースを対象に統合的な検出と対応機能を提供することです。
XDRとEDRには、脅威ハンティング機能など、共通する検出機能がたくさんあります
XDRには、SOAR (セキュリティのオーケストレーションと自動化によるレスポンス)プラットフォームと共通する機能もありますが、大きく異なる点がいくつかあります。
SOARとXDRはどちらも、さまざまなセキュリティツールを統合して連携による自動対応を実現する点で共通しています。脅威対応は手動による定型的な作業になりがちなので、自動化の効果があります。また、手動タスクを自動化すれば、アナリストが難しい判断や問題解決が必要な他の業務に集中できると同時に、手動の脅威対応で起こりがちなミスや見落としを事実上排除できます。
これらの目的は共通する一方で、SOARとXDRには重要な違いがいくつかあります。まず、SOARでは自動化に重点が置かれ、プレイブックを使用したインシデント対応手順のオーケストレーションと自動化が大きな役割を果たします。これに対してXDRでは、通常、受信データの分析に基づく単一アクションのみが自動化されます。また、SOARは、できるだけ多くのツールとポイントソリューションを統合することを目的としています。これに対してXDRは、通常、単一ベンダーの異なるツールの集合体であり、そのすべてをまとめて導入する必要があります。
XDRソリューションは、さまざまな点でEDRソリューションから進化しています。
XDRには、検出機能の向上、高度な脅威に対する防御の強化、対応の効率向上など、さまざまなメリットがあります
XDRソリューションの導入を検討する際に考慮すべき重要事項がいくつかあります。
組織に必要なのは、単にツールやテクノロジーではなく、脅威の検出、調査、修復を強化するための解決策です。今日のセキュリティプラットフォームは、SIEM、SOAR、UEBAなど、さまざまなツールで構成されるため、XDRソリューション、少なくともその機能の一部がセキュリティ運用プラットフォームの次の進化として統合されることはほぼ確実でしょう。XDRでは、機械学習と脅威インテリジェンスを活用することで、既存のEDRツールよりも幅広い脅威に対応できます。また、詳細なデータ分析により、攻撃ベクトルを追跡し、高度な脅威の根本原因と進化に関するインサイトを得ることも可能です。そのため、XDRが受け継いでいる恒久的な役割は、次世代のセキュリティ運用プラットフォームを大きく進歩させる可能性があります。
ガートナー社のSIEM部門のマジッククアドラント
ガートナー社の最新のマジッククアドラントでSIEM市場の動向を掴みましょう。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は850を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキスト(把握したい要素) に基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。
日本支社を2012年2月に開設し、東京の丸の内・大手町、大阪および名古屋にオフィスを構えており、すでに多くの日本企業にもご利用いただいています。
© 2005 - 2023 Splunk Inc. 無断複写・転載を禁じます。
© 2005 - 2023 Splunk Inc. 無断複写・転載を禁じます。