ランサムウェア、ファイルレス攻撃、フィッシングが増加の一途をたどる中、IT とセキュリティのリーダーたちは、高度な脅威に対抗する新たなアプローチに注目し始めています。それが、XDR (Extended Detection and Response: 広範な検出と対応) です。
業界のリーダーたち、アナリストコミュニティ、そしてベンダー各社では話題になっているものの、XDR の概念はまだ進化の過程にあります。そのため、次のような (初歩的だと思われるかもしれませんが) 質問が数多く投げ掛けられています。
- 「XDR は何の略?」
- 「XDR は、それ以前のテクノロジーや概念とどう違うの?」
- 「XDR のメリットは何?」
これらは、XDR の概念を理解する上で重要な質問です。
ソフォスは XDR の先駆者として、このトピックを明確に解説してほしいという要望を頻繫に受けます。そこで本記事では、XDR についてよく聞かれる質問の一部にお答えしていきます。
また、Gartner による XDR の説明については、Gartner のレポート「Innovation Insight for Extended Detection and Response (XDR に関するイノベーションインサイト)」を無料でダウンロードしていただけます。
XDR は何の略?
現在、XDR の解釈には 3 つあります。
Gartner や Forrester などのアナリスト企業は、XDR を「Extended Detection and Response」であると説明しています。「Extended」とは、エンドポイントを超えた先までその対象範囲を広げ、複数のソースからのセキュリティデータを組み合わせることを意味します。
2 つ目の解釈では、「X」は「クロスレイヤード (階層間)」または「クロスプロダクト (製品間)」の検出と対応を意味します。この解釈で重要なのは、複数の製品やセキュリティレイヤーからのデータを組み合わせる点です。
3 つ目の解釈では、「X」を、数式に組み込めるデータソース (エンドポイント、ネットワーク、クラウド、メッセージングなど) の代用となる数学的変数の一種とみなします。
XDR って何?
XDR は製品ですか? プラットフォーム? サービス? 答えは「イエス」です。
XDR は、セキュリティチームが導入、管理、運用を行うツールやツールスイートとしてパッケージ化され提供されることもあれば、専門家チームが独自開発または選択した技術スタックを使用して提供するマネージドサービスである場合もあります。
また、一部の機能を社内のセキュリティオペレーションセンター (SOC) が管理し、その他の機能を社外の専門家チームがサポートするというハイブリッドモデルでの実装も可能です。このように、XDR はさまざまな形態が存在するアプローチであると考えられます。
このことを念頭に置いて XDR を簡単に定義すると、次のようになります。
複数のセキュリティ製品からの情報を統合して、孤立したポイントソリューションでは不可能な脅威の検出、調査、対応を自動化・迅速化するアプローチ。
ソフォスを多少なりともご存知の方であれば、この定義を聞いたことがあるかもしれません。ここ数年のソフォス製品の特徴的な強みの 1 つが、Synchronized Security です。これは、エンドポイント、ネットワーク、モバイル、Wi-Fi、電子メール、暗号化の製品がリアルタイムで情報を共有し、インシデントに自動対応できるようにする機能セットです。
この Synchronized Security の機能の一例が、Security Heartbeat™ です。これは、Gartner 社の「2020 年ネットワークファイアウォール部門マジッククアドラント」で認められた機能で、XG Firewall と Intercept X で保護されているエンドポイントが相互に通信して、ネットワーク内外での脅威の拡散を防止します。
Synchronized Security の機能を今日急成長しているカテゴリへと進化させたものが XDR です。
XDR は SIEM や SOAR と何が違うの?
XDR は、SIEM (Security Information and Event Management: セキュリティ情報イベント管理) ツールや SOAR (Security Orchestration, Automation, and Response: セキュリティの連携、自動化、対応) ツールと機能面で多くの類似点があります。XDR を「SIEM と SOAR の精神的な後継者のようなもの」と呼ぶ人もいます。
しかし、大きな違いは、SIEM/SOAR ツールの主な目的と、XDR が脅威の検出と対応を主軸にしている点にあります。SIEM ツールの基本的な特性は、異なるソースから膨大な量のログイベントやその他のデータを収集して分析する能力にあります。
繰り返しになりますが、この機能は XDR の機能と似ています。しかし、SIEM が本来検索ツールであるのに対し (さまざまな方法で複数の質問をすることをユーザーに要求し、回答を集約して結論を出します)、XDR は脅威に自動対応したり、自動対応ができない場合にはアナリスト主導型の脅威ハンティング/調査を迅速に実行して対応時間を短縮したりできます。
同様に、SOAR プラットフォームは、プレイブック (一定の条件が満たされたときにスクリプト化されたアクションが実行されるロジックフロー) を作成することで、人間のセキュリティオペレーターに機械による支援を提供することはできますが、そうしたプロセスやワークフローを作成してくれるわけではありません。
つまり、SOAR はアラート管理には役立ちますが、効果的なケース管理とインシデント対応のプレイブックを作成するためには、経験豊富なセキュリティアナリストによる継続的メンテナンス (チューニング) だけでなく、実装への多額の先行投資が必要となります。
SIEM か SOAR を使用する、またはこの 2 つを組み合わせることで、XDR のアプローチを実現できるか、と問われれば、「可能です」という答えになります。しかし、機能のギャップを埋めるためには、ツール、人材、プロセスへの多額の投資が必要です。
XDR がビジネスに与える効果は ?
セキュリティリーダー、IT リーダー、リスク管理リーダーは、XDR の機能を活用することで、セキュリティ構成、脅威検知、対応が容易になり、高度な攻撃を防止できます。
「XDR 製品の最大の価値提案は、より多くのセキュリティコンポーネントを 1 つに統合することで、セキュリティオペレーションの生産性を高め、検出・対応能力を強化することにあります。これにより、複数のテレメトリストリームを提供できるため、さまざまな検出オプションが利用可能となり、同時に複数の方法で対応できるようになります。」
Gartner, “Innovation Insight for Extended Detection and Response” (2020)
同様に、XDR は、より精度の高い検出・防止機能をより低い総所有コスト (TCO) で提供できることから、たちまち経営幹部からの支持を獲得しています。
Synchronized Security で利用可能になった XDR のような機能がなければ、「同レベルの保護を維持するのにセキュリティ担当者の数を 2 倍に増やす (リンク先: 英語) 必要があった」という声をお客様からいただいています。また、セキュリティインシデントが減少したため、発生した問題をさらに迅速に特定し、対応できるようになった、とも語っています。
製品またはマネージドサービスとして提供される XDR は、セキュリティプログラムの総コストと複雑さを軽減し、脅威の検出・対応能力を向上させたいと考えている、リソースが限られたセキュリティリーダーや IT リーダーにとって魅力的なはずです。
Sophos XDR の今後の予定は?
今後数週間のうちに、Sophos XDR についての続報をお届けする予定です。それまでの間、XDR の主要コンポーネントの 1 つであるEDR (Endpoint Detection and Response: エンドポイント検出と対応) を、Intercept X の無料トライアルでお試しください。
Gartner「Innovation Insight for Extended Detection and Response」、Peter Firstbrook、Craig Lawson 著 (2020 年 3 月 19 日)。
Gartner は、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品、またはサービスを推奨するものではありません。また、最高の評価もしくはその他の指定を受けたベンダーのみを選択するようテクノロジーの利用者に助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表明するものではありません。Gartnerは、明示的または暗示的を問わず、本調査の商品性や特定目的への適合性を含め、一切の保証を行いません。
GARTNER は、米国内外における Gartner, Inc. および/またはその関連会社の登録商標およびサービスマークであり、Gartner, Inc. の許可を得て使用されています。All rights reserved.