Blog

サイバーリーズンブログ

トップ
ブログ
XDR
記事詳細

XDRとは何か？〜XDR（Extended Detection and Response）の基礎知識とメリット

Post by : Cybereason Security Team

セキュリティチームにかかる過剰な負担、不十分な可視性、そして過剰な量の脅威アラートは、セキュリティインシデント対応に大きな影響を及ぼします。今日のサイバー攻撃は非常に巧妙化および複雑化が進んでおり、組織内を横断する攻撃が増加しています。このため、今日のサイバー脅威に立ち向かうためには、昔からよく言われるように「現代の問題を解決するには現代のソリューションが必要となる」ことを十分理解しておく必要があります。このような課題を解決できる現代のソリューションの1つがXDRです。

ところで、XDRとはそもそも何なのでしょうか？XDRはいかに機能し、どのようなメリットをもたらすのでしょうか？そして、XDRは現代の問題を解決する最良の選択肢なのでしょうか？この記事では、これらの疑問に回答します。

XDR（Extended Detection and Response）とは

XDRとは「Extended Detection and Response」の略で、インシデントの監視と対処の両方を行うサイバーセキュリティソリューションの一つです。XDRの適切な定義の1つとして、「クロスレイヤー型の検知・応答ツール」が挙げられます。言い換えると、エンドポイント、電子メール、サーバー、クラウド、ネットワークなどの、さまざまなセキュリティレイヤーを通じてデータを収集した上で、それらを相互に関連付けるものです。つまり、XDRを使用することで、セキュリティチームは、エンドポイントだけでなく、複数のセキュリティレイヤーにわたって一元的に脅威の検知、調査、対応が行えるようになります。これにより対応能力を高め、生産性を向上させることができるほか、コストを削減できるようになります。

「XDRとは？」〜サイバーセキュリティ入門者向けトレーニング動画〜

シリーズ第4弾の「XDRとは？」では、テレワーク・デジタル化によるセキュリティの問題点を踏まえ、「XDR（Extended Detection and Response）」の基本知識・特長について約3分で分かりやすく解説しています。

XDRの仕組み

XDRは、エンドポイントだけでなく、複数のセキュリティソリューション、サービスのデータから悪意のあるログを抽出、相関解析を行い、潜在的な攻撃を特定することで、悪意ある脅威の検知を支援します。また、XDRは、効率の良い調査を実現するために時系列で脅威を把握することができます。これを通じて、以下のようにセキュリティチームが何をすればよいのか把握することができます。

感染経路は？
エントリポイントは？
攻撃の起点は？
その他の関与した部分が存在しているか？
脅威がいかにしてシステム全体に広がったか？
他のユーザーも脅威にさらされたか？

XDRがもたらすメリット

XDRプラットフォームは、導入した企業や組織に複数のメリットをもたらします。まず、同プラットフォームは、組織内のインフラストラクチャのさまざまな部分からセキュリティに関するテレメトリを収集します。この機能により、SIEMやSOARなどのソリューションが不要となるほか、セキュリティチームが持つ分散ネットワークへの可視性を向上できます。

XDRがもたらす第1のメリットとして、コンテキストを無視した脅威のアラートを大量に配信しないことが挙げられます。ディープなコンテキストと相関関係を自動的に提供するため、チームメンバーは、裏付けのないアラートを手作業でトリアージしたり調査したりするような面倒な作業から解放されるほか、過剰な誤判定を行う可能性を軽減できます。

XDRの第2のメリットとして、セキュリティチームによる組織のインフラストラクチャの統一的な把握を妨げる「情報のサイロ化」を打破することが挙げられます。ファイアウォール、アンチウイルスソリューション、EDR、IAM（Identity and Access Management）、CWP（Cloud Workload Protection）などの機能やその他のセキュリティソリューションを、独自の検知および応答アプローチへと統合することで、これを実現しています。

XDRの第3のメリットとして、企業や組織はアラート過多のスクランブル状態から、効率的なオペレーション中心のセキュリティアプローチへと移行できるようになることが挙げられます。ここで言うスクランブル状態とは、セキュリティチームが、絶えず到着する脅威アラートに遅れずについて行こうとするリアクティブ（事後対応的）な姿勢を意味します。そのようなプロセスでは、セキュリティ専門家は、攻撃チェーン全体を手作業でつなぎ合わせつつ、複数の脅威アラート間に関連するコンテキストがないかを調査する必要があります。このような作業において、セキュリティ専門家は、複数の誤判定を調査することを求められます。

これに対して、XDRでは、攻撃シーケンス全体を構成する行動の連鎖に焦点を当てたオペレーション中心のアプローチを採用しているため、これを使うことで、セキュリティチームは、攻撃の個別要素を修復するのではなく、攻撃全体を終了させることができます。たとえば、エンドポイント上のマルウェアを検知して削除するだけでは、ハッキングされたユーザークレデンシャルが再び悪用されるのを防ぐためにはほとんど役に立たず、ネットワークを通じた攻撃者のパーシステンスにも対処できません。

ここで、XDRがもたらす最後のメリットとして、「対応の自動化」が挙げられます。XDRを使用する場合、セキュリティチームは手動による対応プロセスに頼る必要がなくなります。なぜなら、XDRプラットフォームを使うと、セキュリティチームは検知と対応のプレイブックを作成し、それを通じて攻撃に対応するための主要なステップを自動化できるようになるからです。XDRによる自動化された分析、脅威の可視化機能をセキュリティチームが活用することにより、インシデントにかかわる調査時間を短縮することができます。

XDR入門ガイド〜少ない労力で強力なセキュリティ効果を手にするには〜

多くのセキュリティ担当者にとって、サイバー脅威はもはや制御不能な状況に陥っています。攻撃手法をますます巧妙化させる攻撃者は、従来の脅威検知とインシデント対応のアプローチに対して優位性を大きく高めています。

一方、防御側は、スキル不足、拡大の一途をたどる攻撃ポイントの可視化の欠如、およびアラートと誤検知によってアナリストを困惑させる多数のサイロ化したセキュリティツールに悩まされ続けています。

そこで期待されているのがXDR（Extended Detection and Response）です。本資料では現実のビジネスとセキュリティ運用上の課題を大規模で解決するXDRの特長やCybereason XDRについてご紹介しています。皆様のXDRに関する情報のアップデートにお役立てください。
https://www.cybereason.co.jp/product-documents/brochure/10243/

一覧に戻る

国内シェアN0.1 EDRはCybereason（サイバーリーズン）

Blog

サイバーリーズンブログ

カテゴリー

最新記事

人気の記事