JP
XDR(Extended Detection and Response)とは、組織内に入り込んだマルウェアなどの脅威を自動検出し、分析して対処するプラットフォームです。エンドポイントだけでなく、ネットワーク、アプリケーション、サーバー、データセンターなど複数のレイヤを対象としている点が特徴です。
各レイヤや製品から収集したデータを自動で相関付けるため、脅威を検知するスピードが速くなります。全体を網羅した調査や解析の時間を短縮し、インシデントの長期化を防ぐことがXDRの目的です。
XDRとは?EDRとの違い、セキュリティ機能やメリットを紹介
XDR(Extended Detection and Response)とは、エンドポイントやサーバー、ネットワークなど複数のレイヤから脅威を検出し、分析して自動対処する技術です。未知のマルウェアも高精度に検知し、収集データを統合管理するXDRを導入することで、企業をサイバー攻撃から保護します。
本記事では、XDRの概要やセキュリティ機能、導入メリットを紹介します。運用を効率化した最先端なセキュリティ環境の構築をご検討の際は、ぜひ参考にしてください。
1.XDRとは
①EDR・NDR・SIEMとの違い
XDRと類似機能を持つEDR、NDR、SIEMとの違いを比較するために、各機能の概要を以下の表にまとめました。
| EDR (Endpoint Detection and Response) |
NDR (Network Detection and Response) |
SIEM (Security Information and Event Management) |
|
|---|---|---|---|
| 概要 | エンドポイント(各デバイスやサーバーなど)に侵入した脅威や不審な挙動を検出して封じ込めを行い、ホストを攻撃前の状態に復元する技術 | ネットワーク全体を監視し、脅威の検知や迅速な対処を担うセキュリティ対策 | あらゆるIT機器から大量のログを収集し、相関分析を実施する技術。 |
| XDRとの違い | XDRはEDRの機能を拡張し、エンドポイント以外のレイヤまで一貫して監視している点がEDRと異なる | XDRはネットワーク以外のエンドポイントやメール、クラウドのワークロード全般までを対象とする点が、NDRと異なる | XDRは事前に設定されたルールにもとづき脅威のインシデントを総合分析し、自動対処する仕組み。SIEMは大量のログを収集するが、アラートの自動処理はしない |
②XDRが求められる背景
XDRが求められる背景として、サイバー攻撃が巧妙化している点が挙げられます。エンドポイントセキュリティの歴史はアンチウイルス(AV)から始まり、高度化する脅威に応じるため進化を続けています。
たとえば標的型ランサムウェア攻撃には、エンドポイントからネットワークを通じて横展開(ラテラルムーブメント)し、組織内で感染を拡大させる特性があります。これまでのエンドポイント保護を重視したセキュリティ対策には限界があり、レイヤごとに異なる製品を導入する必要がありました。
しかし複数の異なる製品の使用は、「インシデント発生時に状況を迅速に把握できない」「アラート数が多すぎる」「運用負担が大きい」など、運用性が低下する原因となっていました。
XDRを導入すると、エンドポイントはもちろん、ネットワークなど各レイヤを関連付けて分析し、全体の状況が可視化されやすくなります。さらに統合管理が実現するためアラート数は減り、運用負担も軽減されるため、多くの企業で必要とされています。
2.XDRのセキュリティ機能
XDRは外部攻撃だけでなく、内部不正も検出して自動対応します。ここではXDRの5つのセキュリティ機能を紹介します。
①情報収集
エンドポイントだけでなく、ネットワークやクラウドなど複数のレイヤから、セキュリティイベントのログ情報を収集する機能です。マルウェアの侵入、内部ネットワークやSaaSサービスへのセキュリティ攻撃を可視化します。
②事象検出
さまざまなレイヤからのログ情報を相関的に分析し、根本原因となるインシデントを検出して事象を特定する機能です。根本原因を検出するため、迅速な対応が可能になります。
③自動対応
事前に設定したルールベースや機械学習を用いて、脅威を封じ込める機能です。自動対応するため、攻撃者が活動する前に封じ込めが完了します。
テンプレートとしてルールが提供されているXDR製品もあり、カスタマイズして利用可能です。またユーザーを横断して事例を学習し、最新の攻撃パターンに対応する機械学習を搭載している製品もあります。
④内部不正検出
XDRは外部脅威だけでなく内部からの脅威にも対応します。たとえば以下のような切り口でユーザーのログ情報を分析し、リスクスコアを算出して内部不正を検出します。
- 怪しい場所からのアクセス
- 不自然な時間帯の利用
- 大量のデータをクラウドにアップロード
⑤深掘調査
自動対応が前提のXDRですが、ユーザーが深堀調査する際に役立つ機能も搭載されています。以下のような機能を活用することで、サイバー攻撃の傾向や特徴など新たな発見につながります。
- 条件指定検索
- 複数ログの結合
- 統計処理
- 文字列操作
3.XDRのメリット
次に、企業がXDRを導入するメリットを紹介します。
①脅威検出や封じ込めを迅速化できる
XDRの活用は、脅威検出や封じ込めの迅速化につながります。従来のセキュリティ対策では複数のレイヤでセキュリティチェックが働き、担当者は大量のアラートを到着順に調査する必要がありました。ようやく原因を突き止めて対応策を検討し、封じ込めを行うころにはマルウェアが増殖し、機密情報が詐取される事態に陥っていました。
XDRを導入すると、あらゆるレイヤを統合分析して原因を特定し、封じ込めまで自動対応できます。感染被害が拡大する前に封じ込めを完了できる点が、大きなメリットです。
②アラート数が減少して運用負担が軽減される
XDRの導入で、アラート数が減少して運用負荷の軽減につながる効果があります。これまでのセキュリティ対策では、マルウェアが侵入するとさまざまな箇所でセキュリティチェックが働き、大量のメッセージがセキュリティ担当者に届いてオーバーフロー状態になっていました。
しかしXDRの導入で、関連するアラートは1つのインシデントとしてグループ化されます。担当者はアラート対応に追われることがなくなり、運用性の向上につながります。
4.NTTコミュニケーションズのXDRソリューション
NTTコミュニケーションズでは、Palo Alto Networks社が提供する「Cortex XDR」をはじめ、お客さまの状況をうかがったうえで、最適な「XDR」ソリューションをご提案、導入支援します。
Cortex XDRには、たとえば以下の機能が搭載されています。
- EPP機能…エンドポイントへのマルウェア侵入を多層防御する
- EDR機能…万が一侵入した場合には脅威を迅速に検出して調査する
- NDR機能…ネットワーク上の悪意のある攻撃や挙動を可視化し、検出する
Cortex XDRには機械学習エンジンが備わっており、脅威を自動で解析し結果を世界で共有することで、未知のマルウェアからの攻撃を阻止できる点が特長です。
NTTコミュニケーションズはPalo Alto Networks社と強固なパートナーシップを結び、多数の認定技術者を有しております。高い技術力と豊富な実績をもとに、お客さまのセキュリティ運用の自動化や強化を支援しています。
①【導入事例】グローバル展開する製造会社で最先端なセキュリティ環境を構築
グローバルに展開する製造会社において、エンドポイントのセキュリティ対策と運用にCortex XDRが採用された事例を紹介します。
この製造会社ではセキュリティサービスが統一されておらず、管理や運用が煩雑になっていました。そこでセキュリティ対応の省力化に向けてCortex XDRを導入し、SaaSサービスやデータセンター、国内外からのアクセスを統一管理する仕組みを構築しました。
その結果、国内外の拠点や社内外において統一したセキュリティ環境が実現し、セキュリティレベルの向上につながっています。
5.まとめ
複数のレイヤから脅威を検知し、迅速に原因を突き止めて自動対処するXDRは、インシデントの長期化や被害の再発を防ぐ効果があります。また関連したアラートを1つのインシデントにまとめる機能もあるため、アラート数が減り担当者の負担軽減につながる点もメリットです。NTTコミュニケーションズでは、XDRソリューションを用いて最先端のセキュリティ環境の構築をサポートしています。ぜひお気軽にご相談ください。
詳しく質問したい方はこちら!