XDRとは?EDR・NDRとの違いやXDRのメリット、導入ポイントを解説
更新日 : 2024年07月30日
|
日々高度化・巧妙化するサイバー攻撃。既存のセキュリティ対策ですべての攻撃を防ぎきることは非常に困難です。サイバー攻撃による被害を起こさないためには、防止だけでなく侵入した後の対策がより重要といえます。 万一侵入された後でも可能な対策として、今注目されているのが「XDR」です。 この記事ではXDRがどのようなものかをご説明しつつ、EDRやNDRとの違いについてもご紹介します。 |
目次 |
XDRとは?
XDR(Extended Detection and Response)とは、組織のPC・サーバーなどのエンドポイントや、ネットワークなどに入り込んだマルウェアなどの脅威を検出し、対処を行うセキュリティ対策ソフトウェアの総称です。XDRは複数の場所からデータを収集して分析を行い、単独のセキュリティ製品では見逃す可能性のあるサイバー攻撃も検知できます。
XDRの機能・仕組み
XDRの主な機能は、次の通りです。
- サイバー攻撃を可視化し、ログを一元管理
エンドポイントやネットワーク、クラウドといった枠にとらわれず、情報システム全体のサイバー攻撃を可視化できます。また、複数の場所に分散するログを一元管理できます。 - データの分析、攻撃の自動検出
収集したデータを解析し、AI分析や機械学習を用いて高度な攻撃を検出します。 - データに優先度をつける
データに優先度をつけ、事前に設定したルールや機械学習で自動的に対応します。
XDRとEDR・NDRとの違い
XDRと似た機能として、EDR、NDRがあります。EDR(Endpoint Detection and Response)とは、PCやサーバーなどのエンドポイントの挙動を監視し、不正検知後にアラート通知などの対処を行うものです。NDR(Network Detection and Response)は、ネットワーク機器を流れるトラフィックを監視し、外部からの攻撃や内部不正を検知します。
EDR、NDRとも、XDRとは監視対象が異なります。EDRはエンドポイント、NDRはネットワークが監視対象であり、XDRはエンドポイントに加えてネットワークやクラウドが監視対象です。
EDR、NDR、XDRの特徴と、製品を提供しているメーカーをまとめました。
| EDR | NDR | XDR | |
|---|---|---|---|
| 対象 |
エンドポイント |
ネットワーク |
エンドポイント、ネットワーク、クラウド |
| 目的 |
エンドポイントの操作や動作の監視・攻撃の検知・対処 |
ネットワークのパケットベースで追跡と監視・攻撃の検知・対処 |
エンドポイントからネットワーク、クラウドにまたがる包括的な脅威の監視・攻撃の検知・対処 |
| 主なメーカー |
|
|
|
XDRが注目されている背景
XDRの考え方が注目されている背景には、サイバー攻撃の多様化・高度化と、それに伴うセキュリティ担当者の負荷の増加があります。
内部の通信にも対応する必要がある
かつては、外部のネットワークから内部のネットワークの間で脅威の侵入を防止するセキュリティ対策が主流でした。しかし、クラウドサービスの利用やテレワークの推進により、ネットワークを外部・内部に分けることが難しくなりました。また内部に対しても、不正な通信がないか確認を行う必要性が出てきています。それに加え、内部不正の可能性を考慮する必要もあるでしょう。したがってサイバー攻撃を「防ぐ」ことに加え、攻撃を受けてからも情報システム全体を監視・対処できるセキュリティ対策が求められているのです。
アラートの過多でセキュリティ担当者の負荷が増加
個々にセキュリティ対策を取っている場合には、製品それぞれでアラートが発生します。対応できる脅威が多くなれば、セキュリティ担当者がアラートを確認する負荷が増加するでしょう。それぞれの管理画面を行き来するなどの手間が増えるうえ、確認に手一杯になって重要なアラートの認識困難を招き、他の作業が滞ることも起こりえます。
情報システムや業務プロセスが個々に導入されていて、情報が連携されていない状態を「サイロ」といいます。サイロ化したアラートの確認で担当者の負荷を上げないために、アラートの数そのものを減らす機能が求められているのです。
XDRでセキュリティ対策を集約するメリット
このような脅威情報のサイロ化は、インシデント発生時の原因調査の対応の障壁になりかねません。
企業・組織全体に影響を与える脅威の全体像を正確に把握するには、エンドポイント、ネットワーク、クラウド全体で収集したデータを統合管理・分析し、本当に確認すべきアラートを担当者へ伝えるテクノロジーが必要です。
これらの課題を解決するのが、XDRです。
1.大量のアラート処理から解放
 |
エンドポイント、ネットワーク、クラウドなどのあらゆるアラートの根本原因を自動的に見つけ出します。アラートの根本原因を明らかにすることで、アラートの優先順位付けと調査を迅速化させます。 その結果、効率的に、リスクの高いアラートへの対応に専念することが可能です。 |
従来のような、各セキュリティソフトから断続的に出される大量のアラートを個別に確認する作業から解放されるので、重要なアラートを見逃しにくく対応漏れを低減できます。
このように、担当者の労力を抑えつつ効果を最大化できるのが、XDRの強みです。
2.セキュリティ運用の効率化
 |
エンドポイントセキュリティポリシーの管理とネットワーク環境、エンドポイント環境、クラウド環境の監視・調査・対応を1つのコンソールに統合するため、セキュリティ運用の効率化を実現します。 |
3.情報のサイロ化を防止できる
さまざまなセキュリティ関連のデータを集約し、関連付けて活用できるXDRは、情報のサイロ化防止にも効果を発揮します。個々のエラー情報を、システム全体の状態と関連付けられるため、適した対処法を導き出せます。
XDR導入時のポイント
XDR導入の際には、押さえるべきポイントが3つあります。
XDRは継続的な運用・統合が必要
XDRは導入すればセキュリティ対策ができる、という類の製品ではありません。関連するデータやプロセスを統合し、リスクを可視化する作業が継続的に必要となります。
XDRとSIEMの関係性を理解しておく
XDRと類似した機能を持つセキュリティソリューションに、SIEM(Security Information and Event Management)があります。SIEMもファイアウォールやIDS/IPSなど複数の製品から出力されるログやデータを集約し、それらのデータを組み合わせて分析することで脅威の検出を行います。既にSIEMを導入していればXDRを検討する必要はないと感じるかもしれませんが、この2つの関係性を理解しておくことが重要です。
XDRはSIEMが有するデータの収集・分析機能よりも高度な検知・分析機能をもち、セキュリティ事故発生後の対応を自動化する機能も備えています。またSIEMは各ポイントで起こりうる脅威を検知することに対し、XDRはシステム全体をカバーして監視・検知する点でも違いがあります。いわばXDRはSIEMの強化版のセキュリティ対策であり、既にSIEMを運用している場合、XDRとの住み分けを考えることが必要です。
セキュリティ人材の確保・育成が必要
XDRの運用には、セキュリティ人材の確保が必要です。XDR運用のメインとなるのは、アラートの分析や対応を適切に実行することです。
XDRではある程度対応の自動化が可能とはいえ、サイバー攻撃は次々と新しい手口で引き起こされています。そのためXDRの運用者には、攻撃手法や機器の脆弱性、実行されたプログラムの理解、最新情報の収集など、幅広いセキュリティの知見や経験が必要です。セキュリティ人材を確保できないのであれば、アウトソーシングを検討するか、もしくは組織内でセキュリティ人材の育成を考える必要があります。
まとめ
この記事ではXDRと関連するソリューション、XDR導入にあたっての課題についてご紹介しました。
費用対効果が見えにくいセキュリティ対策においては、「この対策は過剰投資ではないか」という疑問の声が頻繁にあがります。過剰投資を避ける意味でも、部分最適のセキュリティ対策を次々に投入するのではなく、全体最適となるXDRを検討してみてはいかがでしょうか。
パロアルトネットワークス社のCortex XDRであれば、エンドポイントまたはネットワークからのスモールスタートも可能です。企業・組織の実情に沿った、適切なサービスを選定しましょう。
- XDRとは?
XDR(Extended Detection and Response)とは、組織のPC・サーバーなどのエンドポイントや、ネットワークなどに入り込んだマルウェアなどの脅威を検出し、対処を行うセキュリティ対策ソフトウェアの総称です。詳しくはこちらをご覧ください。
Cortex XDR(EPP、EDR、NDR、XDR)
マルウェア・ファイルレス攻撃・エクスプロイト攻撃などを防ぐNGAV機能と、検知と対処を行うEDR機能を両立します。
貴社の悩みに応じたセキュリティ運用代行のサービスをご提供します。