EDRの進化版? 新たなセキュリティ対策XDRとは
 |
日々高度化・巧妙化するサイバー攻撃の全てを、未然に防ぐことは残念ながら困難になっています。 昨今、EDR(Endpoint Detection and Response)やNTA(Network Traffic Analysis)・NDR(Network Detection and Response)といったカテゴリーが脚光を浴びているように、昨今のセキュリティに対する考え方は「侵入を前提とした対策」へとシフトしています。 今回は、新たなカテゴリーとして登場した「XDR」とはどんなものなのか、なぜ必要とされるのかなどをご紹介します。 |
XDRとは?
 |
XDRとは、エンドポイントやネットワーク、クラウドといったセンサーから情報を収集・分析し、今まで見えなかった攻撃を可視化するセキュリティ対策ソフトウェアの総称です。 EDRはエンドポイント、NDRはネットワークの頭文字を指しますが、XDRの「X」は変数です。 Xには、ネットワーク・エンドポイント・クラウドなどからデータを収集し、それらのデータ分析を集中管理して行います。これにより単独製品では見逃してしまう高度なサイバー攻撃も可視化し、防御・検知・対処を実現します。 |
XDRが登場した背景には、セキュリティ対策製品の進化と部分最適が
なぜXDRが登場したのでしょうか。その理由は、すでに多くの企業・組織が直面している課題にあります。
セキュリティ対策として、アンチウィルス対策ソフトウェアをパソコンに導入・ファイアウォールの設置・CASBの利用というように、複数のセキュリティ製品を個別に導入しているケースは多いのではないでしょうか。このような継ぎ接ぎの対策は、新たに2つの課題を生み出しているのです。
1.セキュリティ対策製品の進化によるアラートの増加
 |
サイバー攻撃を対処するべく各セキュリティ製品のテクノロジーも日々進化しており、今まで見えてこなかった脅威が見えるようになってきました。 その結果、影響の大きさに問わず様々なアラートが増加し、担当者が確認すべきアラートの数が増えてしまいました。「The State of SOAR Report, 2018」によると、1週間の平均アラート数は174,000にものぼるとのことです。 これらのアラート対処を効率化すべく、製品ごとの役割分担や一部製品の運用をアウトソーシングするという選択肢もありますが、担当者・アウトソース先が分割されていくといざという時の連携に課題が生じます。 |
2.アラート増加によるセキュリティ運用チームの疲弊
 |
このような状況下で何かインシデントが発生すると、どのようなるでしょうか。 多くのセキュリティ対策製品は、大まかなアラートしか表示されないケースが多く、担当者は攻撃について把握するために、コンソール間を行き来しながら手作業でデータをつなぎ合わせなければなりません。 例えばネットワークに関するアラートを調査する場合、担当者は各インシデントに関連するエンドポイント、ネットワーク、ユーザを特定するために、分析や相関付けといった骨の折れる作業を行う必要があります。 このように人手によって個別のソリューションを横断して脅威を調査することは可視性と相関性が欠け、脅威を見逃すリスクが高まります。また、迅速性を求められる中のこうした煩雑な運用は、セキュリティ運用を行っているチーム全体の疲弊や、対応効率の低下につながってしまいます。 |
解決策はXDR
このような脅威情報のサイロ化は、インシデント発生時の原因調査の対応の障壁になりかねません。
企業・組織全体に影響を与える脅威の全体像を正確に把握するには、エンドポイント、ネットワーク、クラウド全体で収集したデータを統合管理・分析し、本当に確認すべきアラートを担当者へ伝えるテクノロジーが必要です。
これらの課題を解決するのが、XDRです。
1.大量のアラート処理から解放
ポイントエンドポイント、ネットワーク、クラウドなどのあらゆるアラートの根本原因を自動的に見つけ出します。アラートの根本原因を明らかにすることで、アラートの優先順位付けと調査を迅速化させます。 |
2.セキュリティ運用の効率化
ポイントエンドポイントセキュリティポリシーの管理とネットワーク環境、エンドポイント環境、クラウド環境の監視・調査・対応を 1 つのコンソールに統合するため、セキュリティ運用の効率化を実現します。 |
XDRにはいくつか製品が存在し製品によって機能は異なりますが、例えば下記のような機能を持つものがあります。
XDRの主な機能
- エンドポイント、ネットワーク、クラウドといった軸にとらわれず、企業全体を可視化
- 各センサーからデータを収集しアラートを自動的に相関分析
- 優先順位付けされたアラートの表示
- 各センサーから収集したデータを機械学習・AI分析による、高度な攻撃の検出
- 全ユーザーとデバイスの普段の行動をAIが学習し、リスクにつながる普段とは違う行動を素早く検出
まとめ
今回は、新たなセキュリティ対策の「XDR」についてご紹介しました。
なかなか費用対効果を出しにくいセキュリティ対策では、過剰投資を気にされる企業も多いかと思います。部分最適のセキュリティ対策ではなく、全体最適を実現するXDRに注目が集まっています。
パロアルトネットワークス社のCortex XDRであれば、エンドポイントまたはネットワークからのスモールスタートも可能です。企業・組織の実情に沿った、適切なサービスを選定しましょう。
| EDR | NTA | XDR | |
| 対象 | エンドポイント | ネットワークトラフィック | エンドポイント、ネットワーク、クラウド |
| 目的 | エンドポイントの操作や動作の監視・攻撃の検知・対処 | ネットワークのパケットベースで追跡と監視・攻撃の検知・対処 | エンドポイントからネットワーク、クラウドにまたがる包括的な脅威の監視・攻撃の検知・対処 |
| 主なメーカー |
|
|
|
Cortex XDR - 統合型セキュリティ プラットフォーム
マルウェア・ファイルレス攻撃・エクスプロイト攻撃などを防ぐNGAV機能と、検知と対処を行うEDR機能を両立します。
貴社の悩みに応じたセキュリティ運用代行のサービスをご提供します。