• 会員限定
  • 2022/10/27 掲載

XDRとは何かをわかりやすく解説 EDRと何が違う?セキュリティ検知統合のメリット

記事をお気に入りリストに登録することができます。
近年どのセキュリティベンダーも力を入れているのが、EDR(Endpoint Detection & Response)を進化させた「XDR(Extended Detection and Response:拡張型検知対応)」だ。XDRとはどのようなものか、導入によってどのようなメリットが得られるのか。EDRなどの既存のテクノロジーと何が違うのか? ガートナーのバイスプレジデント,アナリスト、クリス・シルバ氏が解説した。

執筆:畑邊 康浩

執筆:畑邊 康浩

photo
ガートナーによるXDRの定義(後ほど詳しく解説します)
(出典:Gartner(2022年7月))

セキュリティはチェックリストの対策では後手に回る

 シルバ氏によると、サイバー攻撃において、攻撃者は「グラフ(図式)」で物事を考えるという。

 どこか一カ所からアクセスし、組織内のインフラのさまざまな層を移動して、より深い場所へアクセスをして、少しずつ探索をしながら、より多くのデータを摂取しようと考えている。

 一方、防御者は、リストで物事を考えがちだという。たとえば、以下のような箇条書きがそうだろう。

  • NISTのサイバーセキュリティフレームワークに準拠する
  • エンドポイントセキュリティを導入する
  • ネットワークセキュリティに移行する
  • 脆弱性管理のプロジェクトを遂行する

 しかし、リストで物事を考えるアプローチは常に攻撃よりも後手に回ってしまう。1つのプロジェクトが終わると「これは済んだもの」「防御に成功した」というふうに思いがちだからだ。

 しかし当然、1つ1つのプロジェクトを扱っていても、包括的に組織を保護することはできない。ガートナーは、企業の80%がシステム全体での攻撃者の動きを、単一のコンソールで追跡できていないと見立てている。そこで重要になるのがXDRという考え方だ。

XDRとは何か? 統合によるメリットとは

 ガートナーの定義によれば、XDRとは「複数のセキュリティ製品をネイティブに統合し、ライセンスされたすべてのコンポーネントを統一した一貫性のあるセキュリティ運用システムを実現する、SaaSベースでベンダーに特化した、セキュリティ脅威の検知およびインシデント対応ツール」のこと。

 アーキテクチャとしてのXDRのアプローチはさまざまなセキュリティ製品を統合していくことにある。

画像
ガートナーによるXDRの定義
(出典:Gartner(2022年7月))

XDRはEDR・SASE・SEGと何が違う? 統合の2つのメリット

 企業向けの代表的なセキュリティ製品として、SEG(Secure Email Gateway)、SASE(Secure Access Service Edge)、EDR(Endpoint Detective Response)、IAM(Identity Access Management)などがある。

 たとえばSEGが攻撃を検知してアラートを発した場合、それを分析して原因が何なのかを突き止め、排除することは可能だ。

 しかし、それは入口に過ぎず、攻撃はエンドポイントに達しているかもしれないし、デバイスに侵入してユーザーのクレデンシャルを利用し、IAMに攻撃をかけているかもしれない。

 シグナルやアラートがドメインごとに発生しても、それを理解するのはシステム運用者、つまり人である。そのため、非効率でスピーディーな対応が難しくなってしまったり、間違った判断・対応をするなどの人的エラーが起こる可能性もある。

 つまり、先ほど述べた製品群の指摘事項を、データ、テレメトリー、そしてシグナルとして1個所に集め、そこに外部のコンテキスト、たとえば脅威インテリジェンスの情報なども加えることが必要になる。

 さらに、内部のコンテキスト、たとえばユーザーが誰なのか、どのシステムにアクセスされているのか、どのデータが標的になっているのか、などの情報も踏まえられるようにするのがXDRだ。それによって、より包括的に攻撃の全体像を捉えることができるようになる。

「技術としてのXDRは、すでに存在している何かに取って代わるものではありません。XDRは企業や製品の対応能力を拡張するものです。複数のツールの複数のシグナルを取りまとめていき、さらにそれを拡張するものと我々は考えています」(シルバ氏)

photo
ガートナー バイスプレジデント,アナリスト、クリス・シルバ氏

 シグナルを取りまとめる、統合のメリットは大きく2つある。

 1つは、インシデント対応の生産性を高めることだ。より短時間でインシデント対応ができ、SOCの効率化が図れることにある。攻撃を広く理解し、シグナルやコンテキストもより広く理解し、複数の領域にまたがって、より迅速に対応できるようになる。

 もう1つは、未対応のアラートを減らせるメリットだ。さまざまなコンソールやツールを使っていると、どうしてもSOCに上がってくるアラートが増えてしまう。すると、対応が追いつかなくなり、かえって侵害につながることもありえる。

【次ページ】手始めに着手すべき3つのポイント

関連タグ

あなたの投稿

関連コンテンツ

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます