セキュリティー・インテリジェンス

XDR (Extended Detection and Response)とは

2021-10-28

記事をシェアする:

XDR (Extended detection and response)は、複数のセキュリティー・レイヤーにわたってエンド・ツー・エンドの可視化、検知、調査、対応を実現するセキュリティー・ソリューションです。

XDRアーキテクチャーの中核となるコンポーネントには、セキュリティー・シグナルのフェデレーション、より高度な行動分析や相互関連分析、クローズド・ループや高度に自動化された対応などがあります。これにより、パーツの合計を上回る価値を持つソリューション・アーキテクチャーによってサポートされる、真に統合されたエクスペリエンスが実現します。

セキュリティー・チームは、以下の基準を満たすXDRからより多くの価値を得ることができます。

オープン・スタンダードのサポート
高度な分析の提供
よりシンプルで統一されたアナリスト・エクスペリエンスの提供
運用の合理化
自動化による対応の強化

XDRソリューションは、オープン・システムの統合によって、組織のネットワーク、エンドポイント、SIEMなど全体の可視性を向上させることができます。オープンソースの規格によって、プログラムを「丸ごと入れ替える」ような、費用のかかる無駄な作業から開放され、既存の投資からより多くの価値を引き出すことができるようになります。

またXDRソリューションは、検知、分析、調査、対応のすべてのレベルで、自動化とAIによる強化を提供することができます。脅威のライフサイクル全体を通して自動化することで、平均検知時間(MTTD)と平均復旧時間(MTTR)を大幅に短縮できます。これらの時間短縮によって、データ侵害に関わるコストを軽減できるだけでなく、アナリストが調査などの人手を要する活動により多くの時間を費やせるようになります。また、XDRソリューションは、脅威の活動内容を統一的に把握し、検索と調査を一元的に行い、脅威インテリジェンスや専門知識を一貫して活用することで、調査を強化します。

XDRは単なるもう一つの頭字語か、それとも市場の根本的な変化なのか?

これまで何十年にもわたって、組織は新たな脅威のリスクにさらされてきました。IT環境が進化し、攻撃側が新たな攻撃方法を見つけ出すと、セキュリティー・チームも脅威を検知し対応するための新たな方法を見つける必要がありました。

現在でも、この複雑な課題は増大し続けています。SIEM、クラウド・ワークロード保護、エンドポイント検知と対応 (EDR)、ネットワーク検知と対応(NDR)など、これらの急増する脅威に打ち勝つために導入されているポイント・ソリューションの例を挙げればきりがありません。これらの投資は、それぞれが差し迫った切実な問題を解決するための役割を果たしていますが、それらを組み合わせることでより大きな課題、すなはち、これらをどのように一緒に活用し、価値を生み出すかという課題です。

私たちが「ポイント・ツール」と呼ぶのはこのためで、これらは特定の課題に対処するために作られたものです。セキュリティー・チームが無数の課題に直面している現在、それらのソリューションを連携し機能させることが増々重要になっています。そうしなければ、限られたセキュリティー運用のリソースが分散し、総所有コストが増加し続け、脅威の特定と対応のプロセスに時間がかかり、業務の非効率性は解消されません。

XDRは、複数のサイロ化されたソリューションを統合し、迅速な検知と対応を妨げる複雑性を軽減するための新しいアプローチです。ブログ記事「Gartner Top 9 Security and Risk Trends for 2020（ibm.com外、英語）」で述べられているように、「XDRソリューションの主な目的は、検知精度を高めることによってセキュリティー運用の効率と生産性を向上させること」です。ガートナー社は、2020年末のセキュリティーとリスクにおけるトレンド第1位をXDRと認定しており、ツールやアラートの多さ、時間の少なさなど、これらの複雑さが明らかになった今こそ、XDRで対応すべきだと示唆しています。

XDRへのさまざまなアプローチ

業界アナリストは、XDRのアプローチとして、ネイティブ型とハイブリッド型の2種類を挙げています。ネイティブXDRは、単一ベンダーのソリューションを統合してテレメトリーを収集し、対応アクションを実行するスイートです。ハイブリッドXDRまたはオープンXDRは、複数のベンダーやサード・パーティーのソリューショを統合してテレメトリーを収集し、対応アクションを実行するプラットフォームです。

ベンダーはXDRの中身に工夫を凝らして、さまざまなアプローチを取っています。例えば、XDRはEDRに機能を追加したものなのか? それともEDRとNDRを組み合わせたものか、あるいはその他の組み合わせか? 技術的には発展途上にあるため、市場がどこに着地するかを判断するのは時期尚早かもしれませんが、ネイティブXDRとハイブリッドXDRの区別は、業界内でも一致しているようです。

XDRはどのようにSIEMを「拡張」するのか

XDRの特徴を詳しく知ると、SIEMをすぐに思い浮かべる方もいらっしゃるでしょう。しかしこの2つには重要な違いがいくつかあります。まず、相関分析とアラートは完全に自動化されており、ユース・ケースはベンダーによって提供・調整されたものを採用しています。インシデント対応では、自動化できる再現性の高いアクションに重点を置かれる傾向があります。例えば、疑わしいファイルをサンドボックスに送信して爆発させたり、アラートに脅威インテリジェンスを付加したり、フィッシング・メールに関連付けられたメール送信者をブロックするなどです。このアプローチは、カスタムプレイブックを使用して幅広くカスタマイズができテクノロジーだけでなく人々を結び付けることもできるSOARとは異なります。

XDRは、現在SIEMで実現している検知と対応の機能をさまざまな方法で拡張することができます。実際、SIEMはSOCアナリストが膨大な量のデータを収集、整理、評価する際にXDRアーキテクチャーを支える重要な役割を果たすことができます。XDRは、SIEMソリューションに流れてくるデータやイベントを基に構築されます。複数のポイント・ソリューションの機能を統合することで、XDRはSIEM分析をさらに一歩進め、成果を改善することができます。例えば、SIEM、エンドポイント、ネットワークから個別に分析を受け取るというのは、1つの攻撃に対して3人の異なる目撃者がいるようなものです。XDRを使用すれば、3人の目撃者全員をすぐにまとめて、1つの完全なストーリーを作り上げ、アナリストが複数のソースをより明確に把握するのに役立ちます。

XDRでは、セキュリティー・シグナルを統合するだけでなく、より高度な相関分析を実行することもできます。「The Forrester Wave for Security Analytics Platforms, Q4 2020（英語、要登録）」で述べられたように、セキュリティー分析とエンドポイント検知および対応はしばらくの間「衝突コース」上を辿っていました。これらの機能をXDRで統合することで、「高度に強化されたテレメトリー、迅速な調査、自動化された対応アクション」が実現します。また、行動分析や機械学習分析によってコンテンツが充実し、精度が向上し、自動化された対応アクションにもつなげることができます。

XDRとMDRの比較

XDRベンダーは複雑さの問題を解決しようと努力していますが、成果が出るまでには時間がかかります。この問題をさらに悪化させているのがスキル不足です。セキュリティー分析や調査を実行する人材が不足しているため、多くの組織はManaged Detection and Response (MDR)サービスのパートナーを利用する（英語）ようになっています。

MDRは、エンドポイント、ネットワーク、SIEMテクノロジーを介して、高度な検知および対応ツールを管理するためのアプローチです。一部のMDRプロバイダーの中には検知されていない脅威をより迅速に発見するために、より積極的な脅威ハンティングを行うところもあります。2020年に実施されたEMAの調査（英語、要登録）では、MDRサービスをまだ使用していない回答者の94%が、現在MDRサービスを評価中である、または今後1年半の間にMDRサービスを評価する予定であることがわかりました。

MDRサービスは、重要なスキルと高度な脅威インテリジェンスを提供し、さらに24時間365日のSOCカバレッジによる迅速な対応を可能にします。ESGのシニア主席アナリストであるJon Oltsik氏（英語）は、「XDRの成功は依然として人間の専門知識に基づいている」と述べています。MDRはサポートを必要とするお客様にとって、XDRの重要なパートナーとなります。

ゼロトラストを目指すお客様をXDRでどのようにサポートするか

セキュリティー流行語のビンゴ・ゲームを企画したとしたら、間違いなくゼロトラストとXDRのどちらも目にすることでしょう。これらの強力なセキュリティー・フレームワークが業界で話題になっているのには理由があります。また、一方の概念が他方の概念の関心をより高めています。

ゼロトラストは、セキュリティー侵害を想定した上で、ユーザーのデータやリソースとの接続状態を継続的に検証して、承認と必要性を判断するフレームワークです。XDRは、インシデントを継続的に監視し、ビジネスの中断を回避するために可能な限り的を絞った方法で対応することで、ゼロトラストに不可欠な機能を提供します。

より詳しく説明しましょう。XDRを使用すると、アナリストは組織が攻撃を受けているかどうかを判断し、何が起こっているのか、次に何が起こるのか、そしてそれが起こらないように防ぐ方法を可能な限り迅速に把握できます。XDRでは、システムを盲目的に信頼し、制御は十分であると考えるのではなく、問題が発生する可能性のある場所を常に監視します。

このようにして、XDRはゼロトラスト・セキュリティー管理が機能していることを確認しています。「決して信頼せず、常に検証する」ゼロトラストの方法論は検証によって支えられています。脅威の検知と対応、および洞察に基づく保護ポリシーの改善については、ゼロトラスト・フレームワークとXDRソリューションが連携して機能します。だからこそ、IDおよびアクセス管理(IAM)などのIDツールでは、XDRソリューション・アーキテクチャーと連携して重要な役割を果たし、脅威の検知と対応にあたって適切なユーザー中心コンテキストが確実に採用されるようにします。

お客様がXDRソリューションに求めるものは?

XDRは、組織が既存の投資からより多くの価値を得られるようにする、オープンで拡張可能なソリューションであることが必要です。また、他ベンダーのソリューションとの統合により、「丸ごと入れ替える」というコストのかかる非現実的なアプローチから回避できることも重要です。クラウドネイティブなソリューションはクラウドの可視性を高めるためにも重要です。

XDRは、EDRソリューションの改良にとどまらず、統合プラットフォームの一部として、脅威の検知と対応のアクティビティーの最終段階というべきものです。このようなレベルに到達するには時間がかかりますが、XDRを開始するためには、基本的な知識と明確な戦略が必要です。強力な自動化機能、AI、専門家による検知、および統一されたユーザー・エクスペリエンスによって可能となる所定の対応アクションにより、セキュリティー・チームはサイロを越えて攻撃に対抗し、リスクを軽減して脅威を迅速に解決することができるようになります。

最終的にXDRは、日々脅威を管理し、対応に当たる人々の業務をより簡素にします。オープン・スタンダードであることは、お客様やコミュニティーへのサービスをより向上させ、テクノロジーの導入や更改に費やされる時間と費用の無駄を防ぐことにつながります。高度な分析、常に更新される脅威インテリジェンス、合理化されたユーザーのワークロードにより、アナリストはより効率的にデータの収集ではなく調査に貴重な時間を費やすことができます。

SOCの鍵を握るのは人材と文化です（英語）。脅威検知データとツールを統合し、迅速なインシデント対応のための能力とコンテキストを強化することで、XDRはチームの成功を支援するコラボレーションとオープン性を実現します。

XDRのビジョンを実現するための詳細は、RSA Conference 2021で発表された「Beyond Endpoints: A Case for Open XDR（ibm.com外、英語）」をご覧ください。

この記事は英語版Security Intelligenceブログ「What Is Extended Detection and Response (XDR)?」（2021年10月21日公開）を抄訳したものです。

このソリューションに関するお問い合わせはこちらから