XDRとは?EDRの進化版といえるXDRのメリットと導入ポイントを解説

更新日 : 2023年06月02日

あらゆる機器のセキュリティ対策
日々高度化・巧妙化するサイバー攻撃の全てを、未然に防ぐことは残念ながら困難になっています。

昨今、EDR(Endpoint Detection and Response)やNTA(Network Traffic Analysis)、NDR(Network Detection and Response)といったカテゴリーが脚光を浴びているように、昨今のセキュリティに対する考え方は「侵入を前提とした対策」へとシフトしています。

今回は、新たなカテゴリーとして登場した「XDR」とはどんなものなのか、なぜ必要とされるのかなどをご紹介します。

目次

  1. XDRとは?
  2. XDRが登場した背景には、セキュリティ対策製品の進化と部分最適
  3. XDRでセキュリティ対策を集約するメリット
  4. XDR導入時のポイント
  5. まとめ
  6. 比較表

XDRとは?

XDR_colum1.png XDRとは、エンドポイントやネットワーク、クラウドといったセンサーから情報を収集・分析し、今まで見えなかった攻撃を可視化するセキュリティ対策ソフトウェアの総称です。

EDRはエンドポイント、NDRはネットワークの頭文字を指しますが、XDRの「X」は変数です。

Xには、ネットワーク・エンドポイント・クラウドなどからデータを収集し、それらのデータ分析を集中管理して行います。これにより単独製品では見逃してしまう高度なサイバー攻撃も可視化し、防御・検知・対処を実現します。
\ XDR製品の代表! /

Cortex XDRの
製品情報はこちら

XDRとEDR・NDRの関係性

XDRとEDR・NDRは、包含関係にあります。もう少し詳しくいうと、EDRやNDRなどの機能を併せ持つのがXDRである、というのが両者の関係性です。

EDRは、エンドポイント具体的にはパソコン・サーバー・モバイル端末など、ネットワークに接続されている機器類の異常を検知し、対処します。

一方、NDRは、ネットワーク部分をリアルタイムで監視し、トラフィックの異変にいち早く対処できます。EDR及びNDRは、それぞれ、エンドポイント・ネットワークというスポットのみを監視するため、単体で運用すると

  • エラーの重大性が判断しづらい
  • 影響範囲の見極めが難しい

といった課題があります。このようなEDR・NDRの弱点を補うために登場したのが、両者の機能を統合して管理・運用できるXDRです。

XDRが登場した背景には、セキュリティ対策製品の進化と部分最適

なぜXDRが登場したのでしょうか。その理由は、すでに多くの企業・組織が直面している課題にあります。

セキュリティ対策として、アンチウィルス対策ソフトウェアをパソコンに導入・ファイアウォールの設置・CASBの利用というように、複数のセキュリティ製品を個別に導入しているケースは多いのではないでしょうか。

このような継ぎ接ぎの対策は、新たに2つの課題を生み出しているのです。

1.セキュリティ対策製品の進化によるアラートの増加

ManyAlart_colum.png

サイバー攻撃を対処するべく各セキュリティ製品のテクノロジーも日々進化しており、今まで見えてこなかった脅威が見えるようになってきました。

その結果、影響の大きさに問わず様々なアラートが増加し、担当者が確認すべきアラートの数が増えてしまいました。「The State of SOAR Report, 2018」によると、1週間の平均アラート数は174,000にものぼるとのことです。

これらのアラート対処を効率化すべく、製品ごとの役割分担や一部製品の運用をアウトソーシングするという選択肢もありますが、担当者・アウトソース先が分割されていくと、いざという時の連携に課題が生じます。

2.アラート増加によるセキュリティ運用チームの疲弊

tsukare_security_colum.png

このような状況下で何かインシデントが発生すると、どのようなるでしょうか。

多くのセキュリティ対策製品は、大まかなアラートしか表示されないケースが多く、担当者は攻撃について把握するために、コンソール間を行き来しながら手作業でデータをつなぎ合わせなければなりません。

例えばネットワークに関するアラートを調査する場合、担当者は各インシデントに関連するエンドポイント、ネットワーク、ユーザを特定するために、分析や相関付けといった骨の折れる作業を行う必要があります。

このように人手によって個別のソリューションを横断して脅威を調査することは可視性と相関性が欠け、脅威を見逃すリスクが高まります。

また、迅速性を求められる中のこうした煩雑な運用は、セキュリティ運用を行っているチーム全体の疲弊や、対応効率の低下につながってしまいます。

XDRでセキュリティ対策を集約するメリット

このような脅威情報のサイロ化は、インシデント発生時の原因調査の対応の障壁になりかねません。

企業・組織全体に影響を与える脅威の全体像を正確に把握するには、エンドポイント、ネットワーク、クラウド全体で収集したデータを統合管理・分析し、本当に確認すべきアラートを担当者へ伝えるテクノロジーが必要です。

これらの課題を解決するのが、XDRです。

1.大量のアラート処理から解放

大量のアラートから解放されるイメージ

エンドポイント、ネットワーク、クラウドなどのあらゆるアラートの根本原因を自動的に見つけ出します。

アラートの根本原因を明らかにすることで、アラートの優先順位付けと調査を迅速化させます。

その結果、効率的に、リスクの高いアラートへの対応に専念することが可能です。従来のような、各セキュリティソフトから断続的に出される大量のアラートを個別に確認する作業から解放されるので、重要なアラートを見逃しにくく対応漏れを低減できます。

このように、担当者の労力を抑えつつ効果を最大化できるのが、XDRの強みです。

2.セキュリティ運用の効率化

セキュリティ運用が効率化してうれしそうな担当者のイメージ エンドポイントセキュリティポリシーの管理とネットワーク環境、エンドポイント環境、クラウド環境の監視・調査・対応を1つのコンソールに統合するため、セキュリティ運用の効率化を実現します。

さまざまなセキュリティ関連のデータを集約し、関連付けて活用できるXDRは、情報のサイロ化防止に効果的です。サイロ化とは、各システムが連携できず、関連付けて運用すべきデータがバラバラに管理され、使いにくくなっている状態を意味します。

個々のエラー情報は、システム全体の状態と関連付けてはじめて、最適な対処法を導き出せるものです。そのため、XDRのように各ジャンルのデータを統合できるソリューションが、運用の効率化には欠かせません。

XDRにはいくつか製品が存在し製品によって機能は異なりますが、例えば下記のような機能を持つものがあります。

XDRの主な機能

  • エンドポイント、ネットワーク、クラウドといった軸にとらわれず、企業全体を可視化
  • 各センサーからデータを収集しアラートを自動的に相関分析
  • 優先順位付けされたアラートの表示
  • 各センサーから収集したデータを機械学習・AI分析による、高度な攻撃の検出
  • 全ユーザーとデバイスの普段の行動をAIが学習し、リスクにつながる普段とは違う行動を素早く検出

XDR製品の代表Cortex XDR
製品情報はこちら

XDR導入時のポイント

XDRを導入し、その効果を最大限発揮させるには、押さえるべきポイントが2つあります。

XDRは継続的に進化させていくもの

XDRは導入したら終わりではなく、継続的に進化させることで、より強固なセキュリティ対策が実現できるようになるという点を認識しておきましょう。具体的には、

  • 関連するデータを統合する
  • プロセスを統合する
  • リスクを可視化する

という順番で、データやシステムの関連付けを行う必要があります。

上記のような統合を進めることで、エラーの重大性や必要な対応に関する判断の精度やスピードを、飛躍的に向上させることが可能です。

XDRとSIEMの関係性を理解しておこう

XDRとSIEMの関係性を理解して運用することも、XDRの真価を引き出す上で重要です。

SIEMとは、複数の機器からセキュリティに関わるログなどを集約し、分析するシステムのことです。SIEMはXDRに類似しているため、置き換えられるのではと、感じる方も多いでしょう。

しかし、実際のところXDRとSIEMは別物だといわれています。XDRは統合的に全体を見て監視や解析し自動的に対処するのに対して、SIEMは各ポイントで見つかったインシデントを集めた後に統合させて分析させます。役割としては、XDRはSIEMの代替ではなくSIEMの強化にあたります。

両者には異なる目的・得意分野があるので、併用することで相乗効果を発揮し、セキュリティを強化することが可能です。

まとめ

今回は、新たなセキュリティ対策の「XDR」についてご紹介しました。

なかなか費用対効果を出しにくいセキュリティ対策では、過剰投資を気にされる企業も多いかと思います。部分最適のセキュリティ対策ではなく、全体最適を実現するXDRに注目が集まっています。

パロアルトネットワークス社のCortex XDRであれば、エンドポイントまたはネットワークからのスモールスタートも可能です。企業・組織の実情に沿った、適切なサービスを選定しましょう。

比較表

EDRNTAXDR
対象

エンドポイント

ネットワークトラフィック

エンドポイント、ネットワーク、クラウド

目的

エンドポイントの操作や動作の監視・攻撃の検知・対処

ネットワークのパケットベースで追跡と監視・攻撃の検知・対処

エンドポイントからネットワーク、クラウドにまたがる包括的な脅威の監視・攻撃の検知・対処

主なメーカー
  • DarkTrace
  • Palo Alto Networks

よくある質問
XDRとは?

XDRとは、エンドポイントやネットワーク、クラウドといったセンサーから情報を収集・分析し、今まで見えなかった攻撃を可視化するセキュリティ対策ソフトウェアの総称です。詳しくはこちらをご覧ください。

関連サービス
Cortex XDR (統合型セキュリティプラットフォーム|EPP×EDR×NTA×UBA×SIEM×AI)

Cortex XDR (統合型セキュリティプラットフォーム|EPP×EDR×NTA×UBA×SIEM×AI)

Cortex XDRとは、ネットワーク・エンドポイント・クラウドに跨るデータをAIを活用した分析によって、脅威の発見・分析・対処までを一元化して提供するクラウドベースのアプリケーションです。JBサービス(JBS)は企業の情報セキュリティ対策・ITシステム運用をご提供いたします。

詳しく »