Written by 伏見みう
エンジニアとしてEVやHEV、産業用設備の研究開発職に従事していた。退職後は北欧デンマークで1年過ごし、現地の風力発電設備などを見学。現在はフリーランスとして活動している。
目 次
XDRとは
XDRと相関性の高い「EDR」とは?
XDRとSIEM・NDR・MDRの違い
なぜ「XDR」が注目される?現在のサイバー攻撃の現状
XDRの主な機能・導入メリットとは?
LANSCOPE サイバープロテクションの提供する「EDR」
まとめ
XDRとは、エンドポイントやクラウド、ネットワークなど、あらゆる層のセキュリティ監視・データ収集を統合し、組織のシステム全体を包括的に対策できる新たなセキュリティの概念・ソリューションのことです。
近年、サイバー攻撃は巧妙化・多様化しており、従来の「エンドポイントだけ」「ネットワークだけ」という独立したセキュリティ対策では、あらゆるサイバー攻撃から網羅的に組織を守ることが難しくなっています。
そこで、あらゆるレイヤーを統括的に監視する「XDR」が必要とされているのです。
XDRはEDRとたびたび比較されますが、EDRがエンドポイントに侵入した脅威の検知・隔離・調査・復旧を行うのに対し、XDRはエンドポイントも含めた広範なレイヤーからデータを検知・収集・分析し、統合的にインシデント管理を行えるという違いがあります。
またXDRは、ログを収集し、相関分析できるという点で共通しているSIEMと比較されることもあります。
SIEMは、各ポイントで見つかるインシデントを統合・分析するのに対し、XDRはシステム全体を俯瞰して監視・解析し、自動対処が可能です。
この記事では、XDRというセキュリティの仕組み・重要性・従来のセキュリティシステムと何が違うのかについて解説します。
▼この記事を要約すると
- XDRとは、エンドポイントをはじめクラウドやアプリケーション・ネットワークなど、システム全体を俯瞰して監視・データ収集・対策できる、新しいセキュリティ概念・対策の1つ
- EDRとXDRの主な違いは「対応範囲」であり、EDRがエンドポイントに特化するのに対し、XDRは幅広いレイヤーを包括的に監視する
- サイバー攻撃は常に高度化、複雑化、多様化し続けており、進化する脅威に対応する手段として、XDRの導入や考え方が効果的である
- XDRはシステム全体を俯瞰的に監視、検知、対処できるため、網羅的で強固なセキュリティ体制を構築できる上、一元管理によるセキュリティ対策の業務効率化が可能となる
また、エムオーテックスでは情シス1,000人の声をもとに「EDRの利用実態調査」を行い、ホワイトペーパーにまとめました。実際、どれほどの企業がEDRを導入しているのか、運用した感想・課題などをわかりやすくお伝えしています。
情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》
XDRとは
XDRとは、Extend Detection and Responseの略称で、既存のネットセキュリティの検出(Detection)と、対応(Response)の機能を拡張(Extend)させた、新たなセキュリティシステムの名称です。
XDRでは、エンドポイント(通信ネットワークに接続されたPCやスマートフォンなどといった端末)をはじめ電子メール、サーバー、クラウド、アプリケーションといった、ネットワーク全体に関わるあらゆるデータを収集・分析することで、網羅的なセキュリティ耐性を構築し、効率的かつ迅速な脅威検知と対応を可能とします。
また、機械学習やAI技術を用いて複数レイヤーのデータから分析を行うことで、脅威の優先順位付け(トリアージ)を効率的に行い、従来の技術よりも速やか、かつ正確に脅威からの隔離や対処が可能となります。
XDRによる、データ収集から復旧までの「仕組み」
XDRでは、あらゆるシステム層の情報を収集・分析することで、検知すべき脅威パターンを明らかにし、各レイヤーで脅威検知を行います。
XDRにて、インシデント発生時、復旧に至るまでの大まかなプロセスは以下の通りです。
1.データ収集
エンドポイントやネットワーク、クラウド、アプリケーションなど、多くの情報源から、データを収集します。収集する情報としてはログやセキュリティイベントなどが該当します。
2.データ分析
収集されたデータは、機械学習やシグネチャベースの検出などを使用し、分析を行います。データ分析により、異常な挙動や脅威パターンを見分けられるようになります。
3.検知とアラート通知
分析データに基づき、不正アクセスや、ウイルス対策ソフトをすり抜けたマルウェアを検知します。これらセキュリティインシデントを検知すると、管理者にアラートで通知を行います。
管理者は優先順位付けを基に、緊急度の高いインシデントに対応します。
4.脅威の隔離
必要に応じて、感染疑いのあるエンドポイントの隔離や、マルウェアの感染防止を行います。迅速に隔離を行うことで、被害を最小限に抑えることができます。
5.調査・復旧
セキュリティ担当者はデータを基に調査を行い、今回の攻撃範囲や影響・感染経路などを特定します。
影響範囲と原因が特定されたら、感染端末からマルウェアを駆除するなど、復旧作業を行います。
さまざまな情報ソースからデータを収集する点は異なりますが、大まかな検知から復旧までの流れは、次章で紹介する「EDR」と類似しています。
XDRと相関性の高い「EDR」とは?
XDRは、既存の技術である「EDR」の機能拡張版とも言われます。
EDRとは、Endpoint Detection and Response の略称で、エンドポイントへの脅威を検知・対応をするセキュリティシステムを指します。従来のアンチウイルス(ウイルス対策ソフト)では防ぎきれないマルウェアに対策する手段として、「EDR」の活用が昨今国内でも大きな注目を集めています。
▼国内「マネージドEDRサービス」市場規模推移
出典:日本経済新聞│ITR、国内のマネージドEDRサービス市場規模推移および予測を発表(2021年12月9日)
通常のウイルス対策ソフトなどは「エンドポイントに侵入する脅威をブロック」する役割を果たしており、悪質なウイルスやプログラムが検出されると、その実行を阻止するのが役割です。
しかし昨今では、サイバー攻撃が高度化、多様化、複雑化したことにより、従来ウイルスソフトでサイバー攻撃の侵入を完全に防ぐことは、不可能であると言われています。
こういった背景を受け、エンドポイント保護(EPP:Endpoint Protection Platform)だけでなく、エンドポイントのセキュリティを「多層防御」で強化できる、EDRが必要とされるようになりました。
EDRでは、万が一エンドポイントに脅威が侵入してしまっても、「侵入後の攻撃」を検知、対処できるため、仮にウイルスソフトが防ぎきれなかったマルウェアも、事後対応で駆除することが可能です。
情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》
EDRの流れと仕組み
EPPで防ぎきれなった脅威は、検知・隔離・調査・復旧のプロセスを経て、EDRにて対処されます。
| 1 | 検知 | エンドポイントのIPアドレスなどといったログを収集し、サーバー上でAIや機械学習などを用いて、あらかじめ定義された不審な挙動や侵入を検知します。脅威が検知されればレポートやアラートとして通知します。 |
|---|---|---|
| 2 | 隔離 | 通知を受けたら該当するエンドポイントをネットワークから遮断、隔離することで2次災害、3次災害を防ぎます。 |
| 3 | 調査 | 収集したログの情報から侵入経路や被害範囲を調査します。 |
| 4 | 復旧 | 検知した脅威の内容を分析情報を基に駆除、感染が疑われるファイルなども削除します。駆除が完了したら、最後に隔離した端末をフルスキャンし復旧します。 |
このようにして、EDRはエンドポイントに侵入してしまったマルウェアなどの脅威からエンドポイントを保護し、復旧させることができます。
EDRとXDRは何が違うのか?
EDRとXDRの主な違いは、その「対象範囲」となります。
・EDR:「エンドポイントデバイス(PC、サーバー、スマートフォン等)」に焦点を当てたセキュリティ対策
・XDR:エンドポイントだけでなく、ネットワーク、クラウド、アプリケーションなど、あらゆるレイヤーを網羅的にカバーする、統合的なセキュリティ対策およびプラットフォーム
EDRがエンドポイントに特化したセキュリティソリューションであるのに対し、XDRはエンドポイントも含めた、広範なレイヤーからデータを検知・収集・分析し、統合的にインシデント管理を行います。
マルウェア攻撃など、エンドポイントを経由したセキュリティ脅威が多い一方、IT技術が進むにつれて、オープンソースの脆弱性やクラウドアプリケーションを経由して脅威が侵入するようになり、必ずしもエンドポイント経由ではないサイバー攻撃も増えてきました。
そこで誕生したのが、エンドポイントだけでなくネットワークに関連した全体のシステムを可視化し、統合的に検知・対応ができる「XDR」です。すなわち、XDRはEDRシステムの延長上にある概念ながら、エンドポイントに限定しない仕組みであると言えます。
XDRとSIEM・NDR・MDRの違い
ここでは、XDRとよく比較されるセキュリティソリューションとの違いについて解説します。
XDRとSIEMの違いとは?
SIEMとは、Security Information and Event Managementの略で、ネットワーク環境のログを管理し、脅威やエラーを通知するセキュリティシステムです。
ファイアウォールやプロキシから出力されるログやデータを集約し、これらの情報を相関分析することで、脅威を検知・対応します。
SIEMは、各ポイントで見つかるインシデントを統合・分析するのに対し、XDRはシステム全体を俯瞰して監視、解析、対処をするセキュリティシステムです。SIEMではさばき切れないアラート管理をXDRであれば行えるなど、XDRはSIEMの要素を補填・強化できるという見方もあります。
XDRとNDR・MDRの違い・関連性とは?
NDRとは、Network Detective and Response のことでネットワークの通信トラフィックやアクセスログ、セキュリティログの情報を、リアルタイムで収集・脅威検知を行うセキュリティソリューションです。
また、MDRは Maneged Detection and Response の略で、EDRやNDRを用いた「運用監視サービス」の名称です。24時間リアルタイムでエンドポイントやネットワークをベンダーが監視することで、速やかに脅威の検知、対処を行うことができます。
先述したEDRやNDRは、それぞれ守備範囲の異なるセキュリティ対策の一つですが、包括する範囲に制限があるため、システム全体を俯瞰して管理できる「XDR」の仕組みが誕生しました。
なぜ「XDR」が注目される?現在のサイバー攻撃の現状
近年、サイバーセキュリティの状況は急激に変化してきたため、脅威の検出や対応を可能とするツールは、常に最新のサイバー脅威に対応しなければいけません。
現在のサイバー攻撃には以下のような傾向・特徴が挙げられます。
・フィッシングメールやクラウドアプリケーション、データセンターなど、ネットワークのさまざまな領域を横断したサイバー攻撃が可能
・リモートワークの普及により、外部ネットワークやクラウドソーシングを利用する機会が増え、攻撃対象領域が拡大化
・事前計画のレベルが上がり、攻撃が巧妙化
・攻撃者自らのアクティビティを隠ぺいする技術もますます巧妙化
このようにサイバー攻撃が巧妙化・多様化したことで、従来のような「エンドポイントだけ」「ネットワークだけ」という独立したセキュリティ体制では、「あらゆるサイバー攻撃から網羅的に組織を守ることが難しい」「セキュリティ担当者の対応が追いつかない」という事態が発生するようになりました。
そこで、セキュリティ担当者の負担を軽減し、複雑なサイバー攻撃への強固なセキュリティ耐性を構築できる手段として、あらゆるレイヤーを統括的に監視する「XDR」が注目されるようになったのです。
XDRの主な機能・導入メリットとは?
ここではXDRの主な機能や導入メリットについてご説明します。
前述の通り、XDRの「機能」そのものはEDRとほぼ同じで、違いは「対象範囲」がエンドポイントだけでなく、クラウドやオープンソースを含むネットワーク全体と広範囲となる点です。
XDRを導入することで、次に説明するメリットが得られます。
1.重要なアラートに絞り、効率的に対応できる
1つ目のメリットは、脅威のレベルによって優先順位付けを行い、重要なアラートに絞って対応できる点です。
監視系のセキュリティシステムでは、脅威の大小に関わらずアラートが通知されるものが少なくありません。また、複数のセキュリティソリューションを併用するため、セキュリティチームは日々大量のアラートに追われ、リソースが圧迫されるという事態が発生していました。
この点、XDRを導入すれば、各種レイヤーの脅威監視を一元化できるため、セキュリティ監視における工数が大幅に削減できます。また、通知されたアラートを関連付けしてインシデントの全体像を把握し、脅威の優先順位付けをすることによって、重要度の高い脅威に絞って対応が行えます。
XDRを使いこなすことで、セキュリティ対策を効率的に行い、担当者の負担を軽減できるというメリットがあります。
2.レイヤーを問わず24時間体制で監視し、早期対応が可能に
XDRを導入することで、エンドポイントやクラウド、電子メール、ネットワークトラフィックなど、ネットワーク全体のあらゆるレイヤーに対し、24時間体制でセキュリティ監視ができるようになります。
アクセス権限が限定された、アプリケーションやクラウドシステムの監視も可能です。
網羅的な監視を24時間体制で行うことにより、どこの層でインシデントが発生したとしても早期発見が可能となり、被害を最小限にとどめることが可能となります。
3.最新の高度なサイバー攻撃にも対応できる
XDRを活用すれば、近年の巧妙に隠蔽された、悪質なサイバー攻撃も見逃さず対応できるようになります。
これはXDRの広範囲に及ぶデータの収集と分析により、攻撃経路の追跡および攻撃者の行動を特定することに繋がるからです。収集したデータは、再発防止やセキュリティ強化対策にも活用でき、さらに今後の侵入者を特定できる可能性を高めることができます。
情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》
LANSCOPE サイバープロテクションの提供する「EDR」
この記事では主に「XDR」の概念についてお伝えしましたが、その大前提として重要なのが、最も脅威の攻撃に遭いやすいと言われる「エンドポイント」のセキュリティソリューション、EDRです。
LANSCOPE サイバープロテクションでは、EDRサービスと高精度なAIアンチウイルス(EPP)をセットで利用できる「Cylance PROTECT × Cylance OPTEICS」を提供しています。
EPPとEDRをセットで導入することにより
・エンドポイントへの侵入前のマルウェア防御(EPP)
・エンドポイントに侵入した後のマルウェア検知・駆除(EDR)
という両要素から、PCやモバイル等「エンドポイント」を保護することが可能です。
あわせて、 Cylance PROTECT・OPTICTを活用し、24時間365日体制で監視をお手伝いする、MDR「Cylance GUARD」の提供も可能です。
今お使いのウイルス対策ソフトや、エンドポイントセキュリティに不安のある方は、ぜひエムオーテックスのEDR「Cylance OPTICS」をご覧ください。3分で分かる資料もご用意しています。
まとめ
本記事では「XDR」の概要や機能、利用方法、現状のサイバー攻撃に対する利点や、既存のワークセキュリティとの相違点ついて解説しました。
本記事のまとめ
- XDRとは、エンドポイントをはじめクラウドやアプリケーション・ネットワークなど、システム全体を俯瞰して監視・データ収集・対策できる、新しいセキュリティ対策の一つ
- EDRとXDRの主な違いは「対応範囲」であり、EDRがエンドポイントに特化するのに対し、XDRは幅広いレイヤーを包括的に監視する
- サイバー攻撃は高度化、複雑化、多様化しており、進化する脅威に対応するには、XDRの導入が効果的である
- XDRはシステム全体を俯瞰的に監視、検知、対処できるため、網羅的で強固なセキュリティ体制を構築できる上、一元管理によるセキュリティ対策の業務効率化が可能となる
- XDRは、EDR、NDR、MDRの要素を含む、包括的なセキュリティ対策である
複雑かつ高度化するサイバー攻撃や、リモートワーク導入による新たな働き方が浸透する中、組織のセキュリティ強化において、今後「XDR」という概念は欠かせない要素となるでしょう。
この記事を通して「XDR」の理解が深まると同時に、貴社のセキュリティ体制を見直すきっかけとなれば幸いです。
情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》
関連する記事
