XDRとは

XDRは、「Extended Detection and Response」の略称であり、検知と対処の機能を拡張したソリューションです。XDRは、メール、サーバー、クラウド、エンドポイント、ネットワークなどの複数のセキュリティレイヤーにわたり、自動で監視し、問題をすばやく検知します。

攻撃者は従来よりも巧妙な手口を使うようになり、セキュリティの分断によって生じた隙間に身を潜めながら、時間をかけて環境内に拡散するようになりました。この場合、攻撃者は様々な箇所を攻撃するため、セキュリティ担当者は、問題をトリアージしてから調査する必要があります。XDRは、このような複数のセキュリティレイヤーに拡大した攻撃を検知し、状況を把握することができるため、可能です。XDRでは監視、検知、処理を自動化しているため、迅速な対処が可能です。

XDRの機能

XDRでは、複数のデータを監視することで、セキュリティレイヤー全体を詳しく把握、分析することができます。一連の処理を自動化できるため、セキュリティチームは複雑なセキュリティ機能も簡単に活用することができます。

XDRはデータを相互に関連付けるため、組織のシステムに分散されているデータのサイロ化を解消し、脅威を詳細に分析することができます。根本原因の分析を自動で行い、メール、エンドポイント、サーバー、クラウドのワークロード、ネットワークなどの場所からいつどうやって脅威がシステムに侵入したのかを明確に把握できます。これによりアナリストは、脅威に対して適切な対処が可能です。

XDRとEDRの違い

EDRは、エンドポイントで検知と対応を行うソリューションです。XDRは複数のセキュリティレイヤーを監視しますが、EDRが監視する対象はエンドポイントのみです。一方、XDRでは、エンドポイントを超えてメール、エンドポイント、サーバー、クラウドのワークロード、ネットワークなどを対象にしています。

XDRのメリット

複数のセキュリティレイヤーにわたって脅威の全体像を把握できるため、XDRには以下のような数多くのメリットがあります。

• 脅威をプロアクティブに特定
• 組織全体を対象に脅威を追跡
• 生産性を強化
• 投資に関する意思決定を効率化
• 平均検知時間（MTTD）と平均対応時間（MTTR）を短縮
• 検知能力と対応能力を強化
• 他のソリューションへの投資にかかる時間とコストを抑制

EDR、MDR、およびSIEMと、XDRとの違い

以下のソリューションを比較すると、XDRがこれらのソリューションの要素を取り込んだソリューションであることがわかります。

• EDR：エンドポイントのデータを活用して、脅威の検知と対応を自動化します。EDRを活用すれば、アナリストは脅威をすばやく検知して脅威に対応できます。
• MDR：Managed Detection and Response（MDR）は、セキュリティの業務を提供するサービスです。専任のセキュリティチームが存在しない組織にとって有用なソリューションであると言えます。MDRでは、分析と脅威インテリジェンスを、社内にセキュリティチームを持たない組織を支援します。専門のアナリストによって新たな脅威が出現してもそれに対応できる環境を実現すると共に、迅速なインシデント対応を可能にします。
• SIEM：Security Information and Event Management（SIEM）ツールを利用すると、複数のソリューションからログやアラートを収集できます。情報を一元化することができますが、アラートの量が膨大であるために、情報を処理しきれない状況に陥る可能性があります。
  長期的に見れば、SIEMの機能はXDRで完全に代替できます。またXDRは、EDRとMDRの要素を取り込んで、検知と対処の能力を強化した包括的なソリューションを実現します。そのためSIEMから収集しているデータをXDRで集約することができれば、XDRによってアラートや情報の管理レベルを上げることができます。

XDRは必要か

どの組織にも、脅威を検知し脅威に対処する何らかの方法が必要です。XDRは、巧妙なTTP（戦術、テクニック、攻撃の手順）を駆使してエンドポイントを超えた広範囲に渡る攻撃から組織を守ります。

大量のデータやアラートが発生していて、それらの処理が追いつかない状況に置かれている場合は、XDRを生産性ツールの用途だけに利用することをお勧めします。これによりMTTDとMTTRの値が改善し、脅威がその力を増しても、環境を保護することができます。

XDRの導入を検討する場合は、既存のEDRシステムで十分なセキュリティを確保できているかどうか考えます。XDRでは、エンドポイントに限定することなく、検知の対応能力を高められるので、クラウド環境やIoTデバイス、ユーザーペルソナなどのビジネスネットワークの要素も検知の対象にできます。そしてその結果、組織全体のセキュリティの状態を詳しく把握できるようになります。