サイバー攻撃の内容が複雑さを増すのに伴い、組織では、脅威を検知し脅威に対処する機能を優先する動きが強まっています。2020年1月に公開されたSANS Instituteの調査報告によれば、IT部門やセキュリティ部門の責任者の半数が、新たな脅威への防御を強化する目的で、Network Detection and Response（NDR）ツールへの投資を増やす計画であると言います。

新型コロナウイルスの感染拡大を契機としてリモートワークとハイブリッドワークの時代が到来したことから、検知と対処の機能がよりいっそう重要になっています。脅威の検知と対処のソリューションに関する市場は2021年から2027年に5.6%の年平均成長率（CAGR）が見込まれると、openPRは予測していますが、検知と対処の機能の重要性が増している状況を考えれば、それも納得できます。

どの検知と対処のアプローチも同じように考案され、同じような効果があるものと考え、これらのアプローチを一括りに捉えようとする向きもあります。これまでに述べた内容を考慮するとあり得ることですが、しかしその考えは間違いです。Managed Detection and Response（MDR）、Endpoint Detection and Response（EDR）、Extended Detection and Response（XDR）はそれぞれが、異なるニーズに対応します。この違いを理解することが、個々の環境に最適なソリューションがどれなのか判断するうえで重要です。

MDR（Managed Detection and Response）

たとえば、Managed Detection and Response（MDR）は、サービスのかたちで監視機能とインテリジェンスベースの検知機能を24時間365日体制で提供します。このモデルでは、セキュリティオペレーションセンター（SOC）を拠点にする外部チームと最新の脅威インテリジェンスを活用し、お客様の情報セキュリティ担当者の業務を支援します。

監視や対処の作業を第三者に委託することから、MDRはある意味で、マネージドセキュリティサービスプロバイダー（MSSP）のサービスと非常に似通っていますが、MDRでは、検知とインシデント対応のサービスに加え、プロアクティブな脅威ハンティングのサービスが提供されることもあります。

これらの役割を果たすために、MDRでは、お客様の環境全体を詳細に把握できる追加のソリューションも利用するのが普通です。このような可視性が得られれば、外部のセキュリティチームは、イベントを確認、評価したり、誤検知を減らしたりできるほか、リスクをはらんだ事象の調査や、お客様内部の担当者への情報の通知、インシデント対応プランの実施などにも役立てられます。

概して、MDRは、自身の組織内に自らSOCを設ける予算がなくスタッフのいない組織をサポートできます。MDRを活用すれば、検知や対処の作業に始終従事しなければならない状況から解放され、有能なサードパーティプロバイダーから、必要なノウハウが得られます。

MDRを利用する場合は、MDRプロバイダーを慎重に選択する必要があります。プロバイダーが検知や対処をスムーズに行うために利用しているソリューションも把握しておかねばなりません。どの検知と対処のアプローチの場合も、単独でお客様のインフラストラクチャのあらゆる側面をカバーできるアプローチはありません。そのため、プロバイダーの選定にあたっては調査が欠かせません。

EDR（Endpoint Detection and Response）

Endpoint Detection and Response（EDR）は、MDRよりもはるかに大きな価値をお客様にもたらします。しかし、EDRにもやはり限界があります。EDRは、組織のエンドポイントでの検知と対処に焦点を置いている点で、従来のアンチウイルスソリューションよりも進んでいます。

標的のネットワークに足掛かりを築くうえで、攻撃者は多くの場合、デスクトップやノートPC、スマートフォン、サーバーなどのエンドポイントに侵入する必要があります。そして、ラテラルムーブメントを実行し、情報を盗み取るために、さらに別のエンドポイントに侵入する必要もあります。

侵入を防ぐために、EDRでは、継続的な監視と脅威の検知、各エンドポイントにおける自動での脅威への対処を優先します。アナリストがエンドポイントの脅威にすばやく対処するうえでこの2つの要素が役立つと、Dark Readingは指摘しています。

EDRは優れたソリューションですが、拡張すべき点もあります。EDRでは、組織のエンドポイントで発生している事象を詳しく把握できますが、エンドポイントにのみ検知と対処の機能を利用できます。

昨今の複雑化した多段階攻撃の一環として攻撃者は、クラウドでの侵害行為やユーザーIDの窃取、ネットワークの他の領域における攻撃活動に、乗っ取ったエンドポイントを利用していますが、そのような攻撃者の行動を把握し、必要な可視性を確保するためには、EDRの拡張が必要となります。

EDRについて詳しくはこちら
https://www.cybereason.co.jp/blog/edr/2224/

XDR（Extended Detection and Response）

現在、XDR（Extended Detection and Response）とその拡張版であるManaged XDRが大きな注目を集めています。XDRでは、エンドポイント以外でもEDRの機能を利用できるようにします。組織のクラウドワークロードやアプリケーションスイート、ユーザーペルソナにEDRの機能を適用します。

XDRは、これらの異なるすべての資産からセキュリティテレメトリを収集して相互に関連付けます。XDRの提供する統合セキュリティソリューションでは、セキュリティチームが脅威のリスクを詳細に把握するうえで必要な背景情報が提供されます。XDRなら、ワンクリックで問題に対処したり、対処を自動化したりできます。

また、XDRを利用すれば、必要な機能をすべて備えた単一のソリューションでインテリジェンスの集約と対処機能のオーケストレーションが可能になるので、扱いづらいSIEMのソリューションが不要になります。

XDRについて詳しくはこちら
https://www.cybereason.co.jp/blog/xdr/7104/

Cybereason Advanced XDR Advantage

サイバーリーズンは最近、Google Cloudと提携することで、「Cybereason XDR^※」をリリースしました。これは、IT環境全体から脅威データを取り込んで分析できる、業界初のAI駆動型XDRプラットフォームです。Azure、AWS、Google Cloudとのネイティブな統合を通じて、Cybereason XDRは、アカウント乗っ取りやデータ流出の兆候を監視できるほか、未公開の脆弱性の悪用やゼロデイ攻撃などの新たな脅威からクラウドワークロードを保護できます。

サイバーリーズンとGoogle Cloudは提携を通じて、現在市場で入手できる最も強力な統合XDRソリューションを構築しています。同ソリューションは、「世界規模」の保護と多層型の防御および応答を実現することにより、モダンなITスタックおよびセキュリティスタック全体にわたって、予測的な攻撃検知を可能にします。

さらに、サイバーリーズンは、セキュリティアナリティクス企業であるempowを買収したことで、XDR分野における勢いを加速させています。

その他のサイバーリーズンが提供する製品について述べると、NGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

※ Cybereason XDRの日本での提供開始は2022年夏頃を予定しております。詳細はお問い合わせください。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/