サイバーセキュリティ業界は、専門用語や略語、頭字語であふれています。エンドポイントからネットワーク、クラウドまで、巧妙な攻撃ベクトルが急増する中、多くの企業は高度な脅威に対抗するための新しいアプローチに目を向けています。そのひとつが最近よく耳にする新たな略語「XDR」(Extended Detection and Response)です。XDRは今年、業界リーダーやアナリストの間で大きな注目を集めましたが、まだ発展途上の概念であり、市場には混乱が生じています。
- XDRとは何でしょうか。
- XDRはEDRと何が違うのでしょうか。
- SIEMやSOARと同じものでしょうか。
EDR市場のリーダーであり、新興のXDRテクノロジーのパイオニアでもある当社は、その立場上、XDRの意味と最終的にどのように顧客の成果向上に貢献できるのか質問されることがよくあります。この記事では、XDRに関する一般的な疑問と、EDR、SIEM、SOARとの違いについてご説明します。
EDRとは
EDR(Endpoint Detection and Response)は、エンドポイントの不審な挙動を監視し、すべてのアクティビティとイベントを記録します。そして、収集した情報を相関分析することで高度な脅威を検知する上で重要なコンテキストを提供し、感染したエンドポイントをネットワークからほぼリアルタイムで隔離するといった自律的なインシデント対応を実行します。
XDRとは
XDRはEDRの進化系です。EDRが複数のエンドポイントにまたがるアクティビティを収集して相関分析するのに対し、XDRの検知範囲はエンドポイントにとどまらず、ネットワークやサーバー、クラウドワークロード、SIEMなど、さらに広範囲で脅威を検知して分析し、インシデント対応を実施することができます。
また、XDRは複数のツールや攻撃ベクトルに対して単一の統合ビューを提供するため、可視性が高く、脅威のコンテキストを考慮した上で、トリアージや調査、迅速な修復を実行できます。
XDRは、複数のセキュリティベクトルからデータを自動的に収集し、相関分析することで脅威の迅速な検知を実現。脅威の範囲が拡大する前にセキュリティアナリストが迅速にインシデントに対応できるようにします。 複数の異なる製品やプラットフォームをすぐに統合できる利便性、そして事前調整された検知メカニズムにより、生産性、脅威の検知、フォレンジックの向上に貢献します。
XDRとSIEMの違い
XDRの説明を聞いて、SIEM(Security Information & Event Management)ツールに似ていると思われた方もいらっしゃるかもしれません。しかし、XDRとSIEMは別物です。
SIEMは、企業全体で大量のログデータを収集、集約、分析、保管するシステムで、企業内のほぼすべてのソースから利用可能なログとイベントデータを収集し、いくつかのユースケースのために保存するという非常に幅広いアプローチを基本としています。具体的なユースケースには、ガバナンスとコンプライアンス、ルールベースのパターンマッチング、UEBAのようなヒューリスティック/行動脅威検知、IOCや基本インジケータのテレメトリソース全体における脅威ハンティングなどが含まれます。
しかし、SIEMツールの導入には、高度な微調整と多大な労力が必要です。さらに、セキュリティチームはSIEMから送られてくる大量のアラートを処理する必要があり、SOCで重要なアラートを見落としてしまう可能性があります。また、SIEMは何十ものソースやセンサーからデータを取得しますが、アラートを発するだけの受動的な分析ツールにすぎません。
このようなSIEMツールの課題解決を目指して開発されたXDRプラットフォームは、標的型攻撃を効果的に検知しインシデント対応できるよう、振る舞い分析や脅威インテリジェンス、行動プロファイリング、分析といったセキュリティ機能を備えています。
XDRとSOARの違い
SOAR(Security Orchestration & Automated Response)プラットフォームは、成熟したセキュリティオペレーションチームによって、APIで接続されたセキュリティソリューションエコシステム全体でのアクションを自動化するマルチステージプレイブックを構築し、実行するために使用されます。それに対して、XDRはMarketplaceを介してエコシステムを統合し、サードパーティのセキュリティコントロールに対する簡単なアクションを自動化するメカニズムを提供します。
SOARは複雑でコストがかかるうえ、パートナー統合やプレイブックを実装・維持するためには、高度に成熟したSOCが必要となります。シンプルで直感的なゼロコードソリューションであるXDRは、「SOAR-Lite」として位置づけられており、XDRプラットフォームから接続されたセキュリティツールへの優れたアクション性を提供します。
MXDRとは
MXDR(Managed Extended Detection and Response)は、MDRサービスを企業全体に拡張し、エンドポイント、ネットワーク、クラウド環境におけるセキュリティ分析と運用、高度な脅威ハンティング、検知、迅速なインシデント対応を含むフルマネージドソリューションを実現します。
MXDRサービスは、顧客のXDR機能をMDRサービスで補完し、監視、調査、脅威ハンティング、インシデント対応機能を追加するサービスです。
XDRが注目される理由
XDRは、サイロ化したセキュリティに置き換わるものであり、組織が統一的な視点からサイバーセキュリティの課題に取り組むことを支援します。XDRは、エコシステム全体から収集した情報で構成される生データの単一プールを活用するため、より広範なソースからデータを収集・照合し、EDRよりも迅速かつ深く、そしてより効果的に脅威を検知し、インシデント対応を実施することができます。
XDRは、脅威に対する高い可視性と詳細なコンテキストを提供するため、これまで対処されていなかったインシデントがより高いレベルで認識されるようになります。これにより、セキュリティチームは迅速に問題を修復し、さらなる影響を緩和して、攻撃の範囲を最小化することが可能となります。
典型的なランサムウェア攻撃は、ネットワークを介してEメールの受信トレイに到達し、エンドポイントを攻撃します。しかし、すべてのインシデントを個別に検証し対処していては、企業は不利な立場に追い込まれてしまいます。XDRは、異種のセキュリティコントロールを統合し、ユーザーが作成したカスタムルールや規範的な対応エンジンに組み込まれたロジックを通じて、ユーザーアクセスの無効化、アカウント侵害の疑いがある場合の多要素認証の強制、受信ドメインとファイルハッシュのブロックなど、企業のセキュリティ環境全体に対する自律的またはワンクリックのインシデント対応を実現します。
XDRは、エコシステム全体から収集した情報で構成される生データの単一プールを活用するため、より広範なソースからデータを収集・照合し、EDRよりも迅速かつ深く、そしてより効果的に脅威を検知し、インシデント対応を実施することができます。
この包括的な可視性により、次のような利点が得られます。
- データソースにまたがる相関分析により、平均検知時間(MTTD:Mean Time to Detect)が短縮される。
- トリアージを迅速化し、調査やスコープに要する時間を短縮することで、平均調査時間(MTTI:Mean Time to Investigate)が短縮される。
- シンプル、迅速、かつ適切な自動化により、平均修復時間(MTTR:Mean Time to Respond)が短縮される。
- セキュリティ環境全体の可視性が向上する。
さらに、AIと自動化により手作業が削減されるため、セキュリティアナリストの負担軽減につながります。このように、XDRソリューションは、高度な脅威をプロアクティブかつ迅速に検知し、セキュリティチームやSOCチームの生産性を高め、組織のROIを大幅に向上させる可能性を秘めています。
まとめ
多くの企業にとって、ベンダー情勢を把握し適切な判断を行うことは、特に検知・インシデント対応ソリューションの検討にあたっては簡単なことではありません。このとき、最大のハードルとなるのが各ソリューションの特徴と利点を理解することです。特に、ベンダーによって用語や意味が異なる場合は、これはさらに困難になります。
通常、市場に投入されたばかりの新しい技術は、誇大広告も多く、購入者が賢くなることが大切です。現実には、すべてのXDRソリューションが同じということはありません。SentinelOne Singularity XDRは、複数のセキュリティ層にまたがり検知・インシデント対応機能を統合して拡張することで、セキュリティチームに一元的なエンドツーエンドのエンタープライズ可視性、高度な分析、テクノロジースタック全体での自律的なインシデント対応機能を提供します。
SentinelOne Singularityプラットフォームにご興味のある方は、お気軽にお問い合わせください。無料デモのお申し込みも承ります。