Extended Detection and Response(XDR)とは
Extended Detection and Response(XDR)は、ツールとデータを統合したものであり、エンドポイント、ワークロード、ユーザー、ネットワークの全体にわたる広範な可視化、分析、および対応を可能にします。
XDR はエンドポイントとワークロードのセキュリティ機能を、ネットワークやクラウドの重要な可視性と統合することで、これらのドメインにわたる信頼性の高いコンテキストを活用して盲点を減らし、脅威を早期に検知して、自動的に修正を行います。

将来の変化に対応可能な SOC:XDR による包括的な可視化と制御の実現

ESG レポート:モダン SOC における XDR の影響
セキュリティにおける XDR の効果
XDR は基本的に、ツールとデータを統合したものですが、エンタープライズ セキュリティ機能が大きく進化しています。XDR では、環境全体から収集された未加工のデータにアクセスできるため、正規のソフトウェアを使用してシステムにアクセスしようとしている攻撃者を検知することができます。これは多くの場合、セキュリティ情報イベント管理(SIEM)ソフトウェアでは実行できないことです。XDR ではアクティビティ データの分析と関連付けが自動的に行われるため、セキュリティ チームはより効果的に脅威を封じ込めることができます。たとえば、ネットワーク検知、ラテラルムーブメント、異常な接続、ビーコン、持ち出し、悪意のあるアーティファクトの配信まで幅広く対応できるようになります。
XDR では EDR と同様に、脅威に対応して、それを封じ込め、削除することができます。しかし XDR はデータ収集に優れており、環境とも統合されているため、影響を受けた資産に対してより効果的に対応できます。真の XDR プラットフォームは、セキュリティ アナリストがターゲットを絞った効果的な方法で脅威に対応するために必要な、包括的な可視性とコンテキストを提供します。個々の状況に合わせた対応が可能になるため、脅威そのものだけでなく、その対応がシステムに与える影響も抑制しやすくなり、たとえば重要なサーバのダウンタイムを短縮したりすることも可能になります。
XDR は、テレメトリとデータ分析、検知、対応という 3 つの要素で構成されています。
- テレメトリとデータ分析:XDR は、エンドポイント、ネットワーク、サーバ、クラウドなど、複数のセキュリティ レイヤーにわたってデータを監視し収集します。そしてデータ分析を利用して、これらのレイヤーから発信された何千ものアラートのコンテキストを関連付け、少数の優先順位の高いアラートを表面化させることで、セキュリティ チームの負担を軽減します。
- 検知:XDR は可視性に優れているため、アラートを選別し、対応が必要なものだけを報告することができます。同じく可視化を通じて、環境内の通常の振る舞いを表すベースラインを作成でき、ソフトウェア、ポート、プロトコルを利用した脅威を検知したり、脅威の発生源を調査してシステムのほかの部分に影響が及ばないようにしたりすることができます。
- 対応:XDR では EDR と同様に、検知した脅威を封じ込めて削除することができるだけでなく、類似の侵害が再発しないようにセキュリティ ポリシーを更新することもできます。しかし、この機能をエンドポイントやワークロードでのみ実行する EDR とは異なり、XDR はエンドポイントの保護にとどまらず、コンテナ セキュリティからネットワークやサーバまで、対象範囲内のすべてのセキュリティ制御ポイントにわたって脅威に対応することができます。
XDR のメリット
EDR にない XDR の機能には、組織の IT 環境を保護するうえで、いくつかの確かなメリットがあります。得られるメリットは次のとおりです。
- 優れた可視性とコンテキスト:(エンドポイントやワークロードに限定された)EDR や(可視性が制限されていることが多い)サードパーティのセキュリティ サービスとは異なり、XDR はセキュリティ環境についてあらゆる角度からの包括的な可視性を提供することができます。セキュリティ アナリストは、あらゆるセキュリティ レイヤーの脅威を(正規のソフトウェア、ポート、プロトコルを利用して侵入した脅威も含め)確認できるだけでなく、攻撃方法、ブループリント、エントリ ポイント、影響を受けたほかのユーザー、脅威の発生場所、拡散経路も把握することができます。このような付加的なコンテキスト、およびその意味を理解するために必要な分析は、脅威に迅速に対応するうえで非常に重要です。
- 優先順位:IT チームやセキュリティ チームは、セキュリティ サービスによって生成される何千ものアラートへの対応に苦労していることがよくあります。XDR では、データ分析と相関機能により、MITRE ATT&CK フレームワーク全体に基づいて関連するアラートをグループ化し、優先順位を付け、もっとも重要なものだけを表面化させることができます。
- 自動化:XDR の自動化機能を使用することで、検知と対応を迅速化し、セキュリティ プロセスから手作業の手順を排除できます。このため IT チームは、大量のセキュリティ データを処理し、複雑なプロセスを再現可能な方法で実行することができます。
- 運用効率:XDR は、セキュリティ ツールを断片的に寄せ集めたものではなく、環境全体の脅威を包括的に可視化することができます。環境やさらに大きなセキュリティ エコシステムに緊密に統合された、一元的なデータ収集と対応を実現できます。
- 迅速な検知と対応:これらの利点はすべて、より強固で効果的なセキュリティ ポスチャへとつながっています。XDR の優れた効率性により、今日のセキュリティ情勢において極めて重要とされる、迅速な脅威の検知と対応が可能になります。
- より洗練された対応:従来の EDR は、多くの場合、影響を受けたエンドポイントを隔離することで脅威に対応してきました。この方法は、エンドポイントがユーザーのデバイスである場合は問題ありませんが、重要なサーバが感染した際には問題が発生する可能性があります。より洗練された機能と優れた可視性を備えた XDR では、特定のシステムに合わせて対応を調整し、ほかの制御ポイントを活用して全体の影響を最小限に抑えることができます。
XDR のユースケース
- 脅威ハンティング:どのネットワークでもすでに脅威が存在している可能性があるものの、多くのセキュリティ チームは、能動的な脅威ハンティングを行う時間を確保することに苦労しています。XDR のテレメトリと自動化機能により、この作業の多くを自動的に行い、セキュリティ チームの負担を大幅に軽減することができます。このため、セキュリティ チームはほかの作業と並行して脅威ハンティングを行い、必要な場合にのみ介入することができます。
- トリアージ:セキュリティ チームのもっとも重要な役割の 1 つは、アラートに優先順位を付けて、もっとも重大なアラートに迅速に対応することです。XDR では、強力な分析を使用してノイズを選別し、何千ものアラートを相互に関連付けて優先順位の高い少数のアラートにまとめることができます。
- 調査:XDR の広範なデータ収集、優れた可視性、および自動分析により、セキュリティ チームは、脅威の発生場所、拡散方法、影響を受けた可能性があるほかのユーザーやデバイスを迅速かつ簡単に特定することができます。これは、脅威を排除するうえでも、将来の脅威に対してネットワークを強化するうえでも非常に重要です。
XDR に関して避けるべき失敗
XDR は強力なセキュリティ戦略ですが、十分なメリットを得るには、その機能を最大限に活用したソリューションを選択することが重要です。プラットフォームを選択する際には、以下のような問題がないか注意してください。
- 統合の欠如:XDR は、IT 環境内に完全に統合されて初めて効果を発揮します。メンテナンスに手間がかかる複雑な統合の場合、IT チームの時間を奪い、XDR ソリューションの効果を低下させてしまうことがあります。
- 不十分な自動化:自動化は、XDR のもっとも強力な機能の 1 つです。そのため、効果を発揮するには、現在の状況に適応でき、単に影響を受けたデバイスへのトラフィックをブロックすることに加え、ターゲットを絞った対応を実行できるプラットフォームでなければなりません。
- 運用の複雑性:有用な XDR ソリューションとなるには、まとまりがあり、セキュリティ チームと IT チームが利用しやすいソリューションである必要があります。そうでなければ、ソリューションを実装することで節約された時間が、学習や設定に費やされる時間と労力によって相殺されてしまいます。
サイバーセキュリティにおける検知と対応とは
検知と対応テクノロジーに、システムの継続的なリアルタイム モニタリングを加えて、潜在的な脅威を検知および調査します。次に検知と対応システムを使用して、こうした脅威の封じ込めと削除を自動化します。
現在では、以下のようなさまざまな検知と対応ソリューションが提供されています。
- EDR(Endpoint Detection and Response)EDR は、エンドポイント上で脅威を監視し、それらに対応します。EDR は、検知と対応のシステムとしては最初のタイプで、それ以前のセキュリティ テクノロジーと比較して可視化に優れ、脅威に迅速に対応することができます。また、マルウェアの検知能力が向上しており、ファイルレス マルウェアなどのより巧妙な脅威も捕捉できます。しかし、その範囲がエンドポイント セキュリティやワークロード セキュリティに限られているため、複雑な環境全体にわたって脅威を相関させることは簡単ではありません。
- NDR(Network Detection and Response)NDR は、ネットワーク内の脅威をスキャンし、脅威を検知すると、脅威への対応を実施します。このタイプの検知と対応ソリューションは、内部ネットワークに焦点を合わせ、セキュリティ チームが境界を侵害した脅威を確認できるようにします。NDR は、NTA、IDPS、ネットワーク サンドボックス、教師あり/教師なし両方の機械学習などの技術を組み合わせて、エンドポイントにとどまらず悪意のあるアクティビティと無害なアクティビティを区別できなければなりません。
- MDR(Managed Detection and Response)MDR はアウトソーシング サービスとして運用され、外部の担当者が組織のシステム上で検知と対応を行います。多くの場合、EDR ツールや NDR ツールが使用されます。これは、検知と対応のツールを運用するための専門知識やリソースが社内にない組織にとっては、適切な選択肢となる可能性があります。MDR サービスは、MSSP(マネージド セキュリティ サービス プロバイダー)などほかのアウトソーシング セキュリティ サービスとは異なり、エンドポイント、ワークロード、ネットワーク内で検知される最新の脅威を対象とした検知と対応に特化しています。
XDR と EDR の違い
XDR は、EDR の機能を環境内のすべてのセキュリティ レイヤー(ワークロード、デバイス、ユーザー、ネットワーク)にまで拡張します。
EDR が単一の視点を提供するのに対して、XDR では、複数のセキュリティ レイヤーにわたるテレメトリと振る舞い分析が可能であり、セキュリティ チームは全体像を把握することができます。
攻撃者が攻撃を単一のセキュリティ レイヤーに限定することはなく、セキュリティ チームも監視の対象を 1 つのレイヤーに限定するわけにはいきません。EDR によって、セキュリティ担当者は侵害されている可能性のあるエンドポイントに対する可視性が得られますが、セキュリティ チームが気づいたときには攻撃がネットワークを通じてほかのシステムに移動していた場合は、それだけでは不十分です。そこで、XDR の出番となります。XDR では、システム全体のアクティビティを包括的に確認し、可視性のギャップを回避できるため、セキュリティ チームは脅威の発生元や環境全体への拡散経路を理解して、脅威を排除することができます。つまり、XDR は、より優れた分析機能と相関機能を備え、包括的な視点を提供します。
関連するソリューションおよび製品
VMware Carbon Black Cloud
各組織のニーズに対応するインテリジェントなエンドポイントおよびワークロード保護機能により、セキュリティを変革します。
VMware Carbon Black EDR
オンプレミスの Endpoint Detection and Response(EDR)
VMware NSX Network Detection and Response
AI 活用型 NDR(Network Detection and Response)