XDRとは?EDRとの違いや導入メリット・導入時のポイントを解説
企業が生産性向上のためにデジタル化を進める中、監視対象となる機器も増加しています。個別の機器やネットワークを監視する場合、セキュリティ担当者の負荷が増え、インシデントへの対応が遅れてしまいます。エンドポイント・ネットワーク・サーバーなどを一括管理できるXDRは、既存のセキュリティ対策の課題を解消し、効率化する手段です。
この記事ではXDRの特徴やEDR・MDRとの違い、導入メリットや導入時のポイントを解説します。
目次
1. XDRとは?
XDRとは「eXtended Detection and Response」の略で、サイバーセキュリティの脅威を多面的に監視し、インシデントに対応する技術の総称です。従来のセキュリティシステムであるEDR (Endpoint Detection and Response)や、NDR (Network Detection and Response)の進化系が、XDRです。
XDRの「X」は拡張を意味し、従来のエンドポイントやネットワークのみの監視ではなく、広く情報システムすべてを監視対象に含めています。XDRは、メール・サーバー・インターネットアクセスなどの複数の領域を監視し、情報分析によって危険を検知すると管理者に通知します。
1-1. XDRが求められる背景
XDRが求められるようになったのは、セキュリティ担当者の負荷を軽減するために、総合的にセキュリティを監視する必要性が出てきたことが理由です。
各企業がセキュリティ強化に取り組んだ結果、アラートの爆発的増加によってセキュリティ担当者のリソースが圧迫されるようになりました。従来のセキュリティ対策では、エンドポイントやネットワークなどを個別のセキュリティ製品で監視する必要があります。
セキュリティ担当者は、各製品から脅威の大小に関わらず発生するアラートに対処しなければなりません。大量の小さなアラートに対応している間に重大なアラートを見落とし、インシデント対応が遅れるリスクもあります。実際にサイバー攻撃を受けた際に影響の範囲を調査するためには、複数のセキュリティ製品のデータを手動で照合するという多大な手間も必要です。既存のセキュリティ対策の課題を解消し効率化する手段として、複数領域を監視できるXDRが注目されています。
2. XDRと他のセキュリティ用語の違い
XDRと類似したセキュリティ対策を表す用語として、EDRやNDR、MDRが挙げられます。XDRとの主な違いは、監視対象がXDRと比較して狭く、限定されている点です。それぞれの特徴やXDRとの違いを解説します。
2-1. XDRとEDRの違い
EDRとは、パソコンやサーバーなどのデバイスを監視し、不審なアクティビティを検知するセキュリティ対策です。EDRの監視対象は利用者に近いエンドポイントであるため、サイバー攻撃の阻止はできません。不正な侵入を受けた後の対処が、EDRの主な役割です。
マルウェア感染などのサイバー攻撃を完全に防ぐのは難しいという前提のもと、EDRはドライブレコーダーのような役割を果たします。エンドポイントでの情報を分析し続け、過去の情報を保持し、万が一攻撃を受けた際は疑わしい挙動の対象を隔離しつつ、管理者への通意を行います。
EDRとXDRは不審な通信やアクティビティを検知し、アラートを発する点では共通していますが、監視対象が異なります。EDRはエンドポイントのみを監視しますが、XDRはエンドポイントだけでなくネットワークやアプリケーション、メールなど幅広く監視します。
2-2. XDRとNDRの違い
エンドポイントを監視するEDRと異なり、ネットワークを監視するのがNDRです。ネットワーク上での通信を監視し、不正アクセスや異常な通信などを検出します。通常とは異なる通信量やアクセスを検知することにより、サイバー攻撃の可能性を察知可能です。
NDRは攻撃者がログの改ざんや削除を行う前の正しいログを取得できるため、マルウェアの感染拡大阻止やスムーズな修復につながります。防御を突破した攻撃者が、他のサーバーに横展開していく怪しいアクティビティを検知し、さらなる被害を防ぐ働きも持っています。EDRと同様にNDRの監視対象は限定的である点が、XDRとの違いです。
2-3. XDRとMDRの違い
MDRとは、エンドポイントを監視するEDRにマネージドセキュリティサービスを抱き合わせて提供するセキュリティ対策です。EDRは攻撃を検知してくれますが、検知した内容の判断やログの解析などにセキュリティ担当者のスキルが必要です。運用できる担当者がいなければ、EDR導入に踏み切れない企業もあります。MDRであれば、マネジメントを社外に任せられます。
MDRはEDRにマネジメントが追加されたサービスであるため、XDRとは監視対象が異なります。しかし、XDRにはない外部からのモニタリングやサポートなど、MDRならではの優位点もあります。
3. XDRの導入メリット
XDRは従来のセキュリティ対策より包括的かつ統合的なサイバーセキュリティです。効率的で精度の高いセキュリティ対策を望む企業にとって、多くのメリットが期待できます。ここでは、XDRを導入するメリットを紹介します。
3-1. セキュリティ対策を統一・集約できる
XDRは複数のセキュリティ機器やサービスの情報を自動的に紐づけ、脅威を検知できるため、より効果的かつ効率的なセキュリティ対策を実現可能です。
従来のセキュリティ対策では、個別のポイントごとに通信を監視し、アラートが発生した場合は検証が必要です。セキュリティ担当者への負荷が大きいだけでなく、監視対象ごとに担当者を配置していると、緊急時の情報共有や対応に時間がかかります。
セキュリティ対策に満足に人員を割けない企業の場合は、外部にオペレーションを委託することも必要です。対策範囲を拡大するほどコストが発生するため、対策範囲の取捨選択を迫られるケースも存在します。
XDRを導入すると、エンドポイントやネットワークなどのログを一元的に管理できる、自社のセキュリティ担当者の負担を軽くし、生産性を向上できます。
3-2. ゼロトラストを実現できる
ゼロトラストとは、情報資産にアクセスするものはネットワークやツールを問わず「すべて信用しない」を前提にセキュリティ対策を講じる考え方です。ゼロトラストに基づくセキュリティ対策では、「社内のアクセスは安全」「正しいIDやパスワードを入力したアクセスは安全」などの思い込みを捨てる必要があります。
XDRは客観的なデータに基づいて、電子メールやワークスペース、クラウドサービスなど幅広いツールやサービスを統合的に監視します。攻撃者からの脅威が拡大する前に高い精度で検知し、情報損失や盗難から企業を守るXDRは、ゼロトラストを実現したい企業に適したセキュリティ対策です。
4. XDRを導入する際に注意すべきポイント
XDRを導入しても、既存のセキュリティ製品をすべて廃止できる訳ではありません。複数のセキュリティ製品からログを集めて解析するXDRは、メールやネットワークなどのセキュリティレイヤーが多いほど分析精度や検知率が向上します。
さらに製品によってはデータが取得できない場合や、取得できるデータが異なる場合もあります。既存のセキュリティ製品を考慮しつつ、環境に適するXDRを選定するのが重要です。
データ収集や検知、分析などを自動化できるのがXDRのメリットですが、最終的に判断を行なうのは人間です。セキュリティ担当者への負荷は軽減できますが、XDRを効果的に運用するためにはセキュリティ対策に明るい人材が欠かせないことも念頭に置きましょう。
まとめ
XDRとはサイバーセキュリティの脅威を多面的に監視し、インシデントに対応する技術の総称です。従来のEDR・NDRと違い、広く情報システムすべてを監視対象に含めています。
XDRは複数の機器やサービスの情報を包括的に監視・管理するため、セキュリティ担当者の負担を軽くしつつ、効果的なセキュリティ対策ができます。また、XDRはゼロトラストを実現したい企業に適したセキュリティ対策です。
ただし、XDRの導入にあたっては、自社の環境に適するXDR製品を選定する必要があります。包括的にセキュリティの構築・見直しができるSecurity Stewardを利用すれば、適切な製品選択が可能です。