サイバー攻撃

XDRとは?EDR・SIEMとの違いや必要性をわかりやすく解説

Written by 伏見みう

エンジニアとしてEVやHEV、産業用設備の研究開発職に従事していた。退職後は北欧デンマークで1年過ごし、現地の風力発電設備などを見学。現在はフリーランスとして活動している。

XDRとは?EDR・SIEMとの違いや必要性をわかりやすく解説

【情シス1,000人に聞いた】EDR&MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査!

資料をダウンロードする


XDRとは、エンドポイントやクラウド、ネットワークなど、あらゆる層のセキュリティ監視・データ収集を統合し、組織のシステム全体を包括的に対策できる新たなセキュリティの概念・ソリューションのことです。

わかりやすく説明すると、XDRは複数の場所(PCやサーバー、ネットワークなど)から収集したセキュリティの情報を、一つのプラットフォームで管理することにより、脅威を素早く発見し、迅速に対応するためのシステムと言えます。

近年、サイバー攻撃は巧妙化・多様化しており、従来の「エンドポイントだけ」「ネットワークだけ」という独立したセキュリティ対策では、あらゆるサイバー攻撃から、網羅的に組織を守ることが難しくなっています。

そこで、あらゆるレイヤーを統括的に監視できる「XDR」が注目されています。

XDRはEDRとたびたび比較されますが、EDRがエンドポイントに侵入した脅威の検知・隔離・調査・復旧を行うのに対し、XDRはエンドポイントも含めた広範なレイヤーからデータを検知・収集・分析し、統合的にインシデント管理を行えるという違いがあります。

XDRは、セキュリティツール「EDR」とたびたび概念や機能を比較されますが、EDRがエンドポイントに侵入した脅威の検知・隔離・調査・復旧を行うのに対し、XDRはエンドポイントも含めた広範なレイヤーからデータを検知・収集・分析し、統合的にインシデント管理を行えるという違いがあります。

▼XDRとEDRの違い

EDR (Endpoint Detection and Response) XDR (Extended Detection and Response)
対象範囲 エンドポイント(PC、サーバーなどの端末) エンドポイント、ネットワーク、クラウド、メールなど複数のセキュリティ領域を統合
データの収集範囲 エンドポイントのログや挙動のデータに限定 複数のソース(エンドポイント、ネットワーク、クラウドなど)からデータを収集
目的 エンドポイントの脅威を検知・対処すること システム全体の脅威をより包括的に検知・対処すること
脅威の検出精度 エンドポイントに限定されるため、特定の脅威に強い 複数のデータを統合することで、より高度な脅威検出と分析が可能


またXDRは、ログを収集し、相関分析できるという点で共通しているSIEMと比較されることもあります。

SIEMは、各ポイントで見つかるインシデントを統合・分析するのに対し、XDRはシステム全体を俯瞰して監視・解析し、自動対処が可能です。

この記事では、XDRというセキュリティの仕組み・重要性・従来のセキュリティシステムと何が違うのかについて解説します。

▼この記事を要約すると

  • XDRとは、エンドポイントをはじめクラウドやアプリケーション・ネットワークなど、システム全体を俯瞰して監視・データ収集・対策できる、新しいセキュリティ概念・対策の1つ
  • EDRとXDRの主な違いは「対応範囲」であり、EDRがエンドポイントに特化するのに対し、XDRは幅広いレイヤーを包括的に監視する
  • サイバー攻撃は常に高度化、複雑化、多様化し続けており、進化する脅威に対応する手段として、XDRの導入や考え方が効果的である
  • XDRはシステム全体を俯瞰的に監視、検知、対処できるため、網羅的で強固なセキュリティ体制を構築できる上、一元管理によるセキュリティ対策の業務効率化が可能となる

また、エムオーテックスでは情シス1,000人の声をもとに「EDRの利用実態調査」を行い、ホワイトペーパーにまとめました。実際、どれほどの企業がEDRを導入しているのか、運用した感想・課題などをわかりやすくお伝えしています。

【情シス1,000人に聞いた】EDR&MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査!

資料をダウンロードする

情シスでも騙されるマルウェア感染手口5選

情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》

資料をダウンロードする

XDRとは


XDRとは、Extend Detection and Responseの略称で、既存のネットセキュリティの検出(Detection)と、対応(Response)の機能を拡張(Extend)させた、新たなセキュリティシステムの名称です。

XDRでは、エンドポイント(通信ネットワークに接続されたPCやスマートフォンなどといった端末)をはじめ電子メール、サーバー、クラウド、アプリケーションといった、ネットワーク全体に関わるあらゆるデータを収集・分析することで、網羅的なセキュリティ耐性を構築し、効率的かつ迅速な脅威検知と対応を可能とします。

また、機械学習やAI技術を用いて複数レイヤーのデータから分析を行うことで、脅威の優先順位付け(トリアージ)を効率的に行い、従来の技術よりも速やか、かつ正確に脅威からの隔離や対処が可能となります。
XDRのイメージ図

XDRによる、データ収集から復旧までの「仕組み」

XDRでは、あらゆるシステム層の情報を収集・分析することで、検知すべき脅威パターンを明らかにし、各レイヤーで脅威検知を行います。

XDRにて、インシデント発生時、復旧に至るまでの大まかなプロセスは以下の通りです。

1.データ収集

エンドポイントやネットワーク、クラウド、アプリケーションなど、多くの情報源から、データを収集します。収集する情報としてはログやセキュリティイベントなどが該当します。

2.データ分析

収集されたデータは、機械学習やシグネチャベースの検出などを使用し、分析を行います。データ分析により、異常な挙動や脅威パターンを見分けられるようになります。

3.検知とアラート通知

分析データに基づき、不正アクセスや、ウイルス対策ソフトをすり抜けたマルウェアを検知します。これらセキュリティインシデントを検知すると、管理者にアラートで通知を行います。

管理者は優先順位付けを基に、緊急度の高いインシデントに対応します。

4.脅威の隔離

必要に応じて、感染疑いのあるエンドポイントの隔離や、マルウェアの感染防止を行います。迅速に隔離を行うことで、被害を最小限に抑えることができます。

5.調査・復旧

セキュリティ担当者はデータを基に調査を行い、今回の攻撃範囲や影響・感染経路などを特定します。
影響範囲と原因が特定されたら、感染端末からマルウェアを駆除するなど、復旧作業を行います。

さまざまな情報ソースからデータを収集する点は異なりますが、大まかな検知から復旧までの流れは、次章で紹介する「EDR」と類似しています。

XDRとEDRの違い


EDRとは、Endpoint Detection and Response の略称で、エンドポイントへの脅威を検知・対応をするセキュリティシステムを指します。

アンチウイルスソフト(EPP)で防ぎきれなった脅威は、検知・隔離・調査・復旧のプロセスを経て、EDRにて対処されるのです。

このEDRとXDRの主な違いは、「対象範囲」です。

・EDR:「エンドポイントデバイス(PC、サーバー、スマートフォン等)」に焦点を当てたセキュリティ対策
・XDR:エンドポイントだけでなく、ネットワーク、クラウド、アプリケーションなど、あらゆるレイヤーを網羅的にカバーする、統合的なセキュリティ対策およびプラットフォーム

EDRがエンドポイントに特化したセキュリティソリューションであるのに対し、XDRはエンドポイントも含めた、広範なレイヤーからデータを検知・収集・分析し、統合的にインシデント管理を行います。
EDRとXDRの違いのイメージ
マルウェア攻撃など、エンドポイントを経由したセキュリティ脅威が多い一方、IT技術が進むにつれて、オープンソースの脆弱性やクラウドアプリケーションを経由して脅威が侵入するようになり、必ずしもエンドポイント経由ではないサイバー攻撃も増えてきました。

そこで誕生したのが、エンドポイントだけでなくネットワークに関連した全体のシステムを可視化し、統合的に検知・対応ができる「XDR」です。すなわち、XDRはEDRシステムの延長上にある概念ながら、エンドポイントに限定しない仕組みであると言えます。

【情シス1,000人に聞いた】EDR&MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査!

資料をダウンロードする

情シスでも騙されるマルウェア感染手口5選

情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》

資料をダウンロードする

XDRとSIEMの違い


SIEMとは、Security Information and Event Managementの略で、ネットワーク環境のログを管理し、脅威やエラーを通知するセキュリティシステムです。

ファイアウォールやプロキシから出力されるログやデータを集約し、これらの情報を相関分析することで、脅威を検知・対応します。

SIEMは、各ポイントで見つかるインシデントを統合・分析するのに対し、XDRはシステム全体を俯瞰して監視、解析、対処をするセキュリティシステムです。SIEMではさばき切れないアラート管理をXDRであれば行えるなど、XDRはSIEMの要素を補填・強化できるという見方もあります。

▼XDRとSIEMの比較

XDR (Extended Detection and Response) SIEM (Security Information and Event Management)
目的 複数のセキュリティ領域(エンドポイント、ネットワーク、クラウドなど)か脅威検出脅威検出と対応 セキュリティイベントの集約・監視・ログ分析
コンプライアンスの管理
データの収集範囲 エンドポイント、ネットワーク、クラウド、メールなど多様なセキュリティソースからのデータ システム全体のログ(ネットワークデバイス、サーバー、アプリケーションなど)
主な利点 多層的な脅威検出と自動化対応に強い 複雑な環境でのセキュリティログの一元管理とコンプライアンス対応に強い

XDRとNDR・MDRの違い・関連性とは?

NDRとは、Network Detective and Response のことでネットワークの通信トラフィックやアクセスログ、セキュリティログの情報を、リアルタイムで収集・脅威検知を行うセキュリティソリューションです。

また、MDRは Maneged Detection and Response の略で、EDRやNDRを用いた「運用監視サービス」の名称です。24時間リアルタイムでエンドポイントやネットワークをベンダーが監視することで、速やかに脅威の検知、対処を行うことができます。

先述したEDRやNDRは、それぞれ守備範囲の異なるセキュリティ対策の一つですが、包括する範囲に制限があるため、システム全体を俯瞰して管理できる「XDR」の仕組みが誕生しました。

なぜ「XDR」が注目される?現在のサイバー攻撃の現状


近年、サイバーセキュリティの状況は急激に変化してきたため、脅威の検出や対応を可能とするツールは、常に最新のサイバー脅威に対応しなければいけません。
現在のサイバー攻撃には以下のような傾向・特徴が挙げられます。

・フィッシングメールやクラウドアプリケーション、データセンターなど、ネットワークのさまざまな領域を横断したサイバー攻撃が可能
・リモートワークの普及により、外部ネットワークやクラウドソーシングを利用する機会が増え、攻撃対象領域が拡大化
事前計画のレベルが上がり、攻撃が巧妙化
・攻撃者自らのアクティビティを隠ぺいする技術もますます巧妙化

このようにサイバー攻撃が巧妙化・多様化したことで、従来のような「エンドポイントだけ」「ネットワークだけ」という独立したセキュリティ体制では、「あらゆるサイバー攻撃から網羅的に組織を守ることが難しい」「セキュリティ担当者の対応が追いつかない」という事態が発生するようになりました。

そこで、セキュリティ担当者の負担を軽減し、複雑なサイバー攻撃への強固なセキュリティ耐性を構築できる手段として、あらゆるレイヤーを統括的に監視する「XDR」が注目されるようになったのです。

XDRの機能


XDRには、主に以下のような機能が搭載されています。

・インシデント対応を自動化する機能
・サイバー攻撃を可視化する機能
・攻撃手法を調査・分析する機能

インシデント対応を自動化する機能

XDRには、「プレイブック」というものが組み込まれています。

プレイブックとは、インシデント発生時の対応の自動化を設定したスクリプトのことです。

これにより、脅威の検出から分析、感染が疑われるエンドポイントの隔離・修復といったインシデント対応を自動で行ってくれます。

サイバー攻撃を可視化する機能

XDRは、エンドポイントやネットワーク、クラウド、アプリケーションなど、広範なレイヤーからログやセキュリティイベントを収集することで、サイバー攻撃の全体像を可視化することができます。

攻撃手法を調査・分析する機能

XDRは、機械学習やAI技術を用いて、さまざまなレイヤーから収集した情報をもとに、攻撃手法の調査・分析を行います。

これにより、原因や影響範囲の特定が可能です。

XDRを導入するメリットとは?


XDRを導入することで、次に説明するメリットが得られます。

1.重要なアラートに絞り、効率的に対応できる

1つ目のメリットは、脅威のレベルによって優先順位付けを行い、重要なアラートに絞って対応できる点です。

監視系のセキュリティシステムでは、脅威の大小に関わらずアラートが通知されるものが少なくありません。また、複数のセキュリティソリューションを併用するため、セキュリティチームは日々大量のアラートに追われ、リソースが圧迫されるという事態が発生していました。

この点、XDRを導入すれば、各種レイヤーの脅威監視を一元化できるため、セキュリティ監視における工数が大幅に削減できます。また、通知されたアラートを関連付けしてインシデントの全体像を把握し、脅威の優先順位付けをすることによって、重要度の高い脅威に絞って対応が行えます。

XDRを使いこなすことで、セキュリティ対策を効率的に行い、担当者の負担を軽減できるというメリットがあります。

2.レイヤーを問わず24時間体制で監視し、早期対応が可能に

XDRを導入することで、エンドポイントやクラウド、電子メール、ネットワークトラフィックなど、ネットワーク全体のあらゆるレイヤーに対し、24時間体制でセキュリティ監視ができるようになります。

アクセス権限が限定された、アプリケーションやクラウドシステムの監視も可能です。

網羅的な監視を24時間体制で行うことにより、どこの層でインシデントが発生したとしても早期発見が可能となり、被害を最小限にとどめることが可能となります。

3.最新の高度なサイバー攻撃にも対応できる

XDRを活用すれば、近年の巧妙に隠蔽された、悪質なサイバー攻撃も見逃さず対応できるようになります。

これはXDRの広範囲に及ぶデータの収集と分析により、攻撃経路の追跡および攻撃者の行動を特定することに繋がるからです。収集したデータは、再発防止やセキュリティ強化対策にも活用でき、さらに今後の侵入者を特定できる可能性を高めることができます。

【情シス1,000人に聞いた】EDR&MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査!

資料をダウンロードする

情シスでも騙されるマルウェア感染手口5選

情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》

資料をダウンロードする

XDRの課題


XDRには、以下のような課題もあります。

・あくまで行えるのは事後対応
・運用には高度な知識と経験が必要

XDRは、あくまでも侵入後の脅威を素早く検知し、隔離を行うことで、被害を最小限に抑えるためのセキュリティソリューションです。

つまり、脅威の侵入を未然に防ぐ予防的な措置はとることができません。

また、XDRは脅威と思われる不審な通信を検知すると、セキュリティ担当者にアラートで通知しますが、実際に通信を遮断するかどうか判断するのはセキュリティ担当者自身です。

そのため、運用には高度な知識と経験が必要になります。

XDRを導入する際のポイント


XDRを導入する際は、以下のポイントを押さえるようにしましょう。

・セキュリティ人材を確保・育成する
・部門・システム間で連携をとる

セキュリティ人材を確保・育成する

「XDRの課題」の部分でも少し説明したように、XDRの運用には、高度な知識と経験が必須と言えます。

XDRの導入を考えているのであれば、ますはセキュリティ人材の確保・育成を行いましょう。

自社でセキュリティ人材の確保・育成が難しい場合は、XDRの運用を外部に依頼するのも一つの手です。

部門・システム間で連携をとる

XDRは、エンドポイント、ネットワーク、アプリケーションなどを幅広く監視することから、場合によっては部門やシステムをまたがってしまうことも考えられます。

そのため、部門・システム間で連携をとり、特定のエンドポイントやネットワークでインシデントが発生した場合にどの部署が対応するのか、明確にしておきましょう。

LANSCOPE サイバープロテクションの提供する「EDR」

この記事では主に「XDR」の概念についてお伝えしましたが、その大前提として重要なのが、最も脅威の攻撃に遭いやすいと言われる「エンドポイント」のセキュリティソリューション、EDRです。

LANSCOPE サイバープロテクションでは、EDRサービスと高精度なAIアンチウイルス(EPP)をセットで利用できる「CylancePROTECT×CylanceOPTEICS」を提供しています。

EPPとEDRをセットで導入することにより

・エンドポイントへの侵入前のマルウェア防御(EPP)
・エンドポイントに侵入した後のマルウェア検知・駆除(EDR)

という両要素から、PCやモバイル等「エンドポイント」を保護することが可能です。
EPPとEDRの役割の違い
あわせて、 Cylance PROTECT・OPTICTを活用し、24時間365日体制で監視をお手伝いする、MDR「CylanceMDR」の提供も可能です。

今お使いのウイルス対策ソフトや、エンドポイントセキュリティに不安のある方は、ぜひエムオーテックスのEDR「Cylance OPTICS」をご覧ください。3分で分かる資料もご用意しています。

関連ページ

運用負荷の少ないEDR「CylanceOPTICS」とは?

まとめ


本記事では「XDR」の概要や機能、利用方法、現状のサイバー攻撃に対する利点や、既存のワークセキュリティとの相違点ついて解説しました。

本記事のまとめ

  • XDRとは、エンドポイントをはじめクラウドやアプリケーション・ネットワークなど、システム全体を俯瞰して監視・データ収集・対策できる、新しいセキュリティ対策の一つ
  • EDRとXDRの主な違いは「対応範囲」であり、EDRがエンドポイントに特化するのに対し、XDRは幅広いレイヤーを包括的に監視する
  • サイバー攻撃は高度化、複雑化、多様化しており、進化する脅威に対応するには、XDRの導入が効果的である
  • XDRはシステム全体を俯瞰的に監視、検知、対処できるため、網羅的で強固なセキュリティ体制を構築できる上、一元管理によるセキュリティ対策の業務効率化が可能となる
  • XDRは、EDR、NDR、MDRの要素を含む、包括的なセキュリティ対策である

複雑かつ高度化するサイバー攻撃や、リモートワーク導入による新たな働き方が浸透する中、組織のセキュリティ強化において、今後「XDR」という概念は欠かせない要素となるでしょう。

この記事を通して「XDR」の理解が深まると同時に、貴社のセキュリティ体制を見直すきっかけとなれば幸いです。

【情シス1,000人に聞いた】EDR&MDR利用実態調査

「EDRを導入した理由」「EDRを導入して良かったこと」など、情シス担当者のホンネを調査!

資料をダウンロードする

情シスでも騙されるマルウェア感染手口5選

情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》

資料をダウンロードする