XDRを知っていますか？～概要と導入メリット～

みなさん、こんにちは。
今回のブログでは、XDRという新しいコンセプトについて紹介したいと思います。

XDRとは！？

そもそも、XDRとは？という疑問が出てきますよね？仕組みとか技術的な観点での紹介をする前に、概要を紹介したいと思います。XDRは、Crossover Detection & Responseという言葉から生まれたそうです。「Crossover は異なる要素同士が相互に交じり合うこと」を意味しているので、異なる要素のデータ同士が交互に交じり合い、「検知」と「対応」に対して何か良い結果を生み出すことです。GartnerやIDCといった調査会社からも決められた定義はでていないため、セキュリティベンダーの各社が自社製品に合う形でXDRを表現しています。XDRの良いところを理解するには、NGAVやEDRといったエンドポイントのセキュリティ製品の理解が必要です。
次の章では、NGAV(Next Generation Anti Virus)とEDR(Endpoint Detection & Response)との違いについて紹介します。

NGAVとEDRとの違いとは！？

XDRの良いところを理解するには、NGAVやEDRといったエンドポイントのセキュリティ製品の理解が必要です。NGAVやEDRは日本市場でも注目され始めてきています。インターネットで検索すると導入事例やベンダー名、製品名が出てくるようになりました。NGAVは、従来からあるアンチウイルスソフトよりも高度な攻撃からエンドポイントを守る能力を持ち、マルウェアの侵入や感染を未然に防ぐ部分で効果を発揮します。EDRは、エンドポイントの行動を全て記録する能力を持ち、侵入経路の特定や原因解決の時間を短縮し侵入後の影響を最小限に留めることが可能になります。NGAVやEDRがどういった製品なのか、なぜ必要なのかなどの詳しい話は、弊社エンジニアが執筆した記事があるので、こちらを参考にしていただけると理解が深まると思います。

参考記事：「エンドポイントセキュリティ」再浮上のなぜ

XDRの特徴

PaloaltoNetworks社はXDRを提唱するセキュリティベンダーの1社ですが”データ”の活用を重要視しています。PaloaltoNetworks社が提供するファイヤーウォールやエンドポイント、クラウドのインスタンス全ての製品のデータを収集しデータレイクに集約することで、大量のデータを活用することを可能にしています。また、取集されたデータ量が多ければ多いほど、分析結果の精度が上がり、結果として脅威の検知率も向上するということになります。

ただし、前述しましたが、特定のデータだけを大量に集めるのではなく、エンドポイント、ネットワーク、クラウドのデータをバランスよく集めることが重要です。XDRの機械学習エンジンの特徴は、各データを”つなぎ合わせて”分析することですので、サイロで取得したデータよりも詳細な分析結果を得られることが期待されます。エンドポイント製品から取得できるデータ量・内容は、各々の企業であまり変わりはないですが、ネットワーク機器(特にFirewall)からのデータについては、製品により取得できるデータが異なる場合があったり、配置によっては取得できない場合があり、ネットワーク設計の考慮が必要です。

上記ではXDRの概念を紹介しました。PaloaltoNetworks社のXDRは基本クラウドで提供していますので、企業へのXDR自体の導入は比較的容易と言えますが、以下3つのポイントは考慮する必要があります。

• エンドポイント、ネットワーク、クラウドのどの機器から情報を収集するか？
• どのようなデータを収集するか？
• 既存ネットワークの変更が必要か？

上記を考慮した上でXDRの導入を進めたとしても、まだ検討しなければならない点があります。運用を行う人材についてです。XDRが優れていても、最終的な結果に対する判定はセキュリティスキルを保持する人（一般的にアナリスト）の知見が必要な場面がでてきます。自社でXDR導入後の運用まで行うのであれば、判定に対する判断ができる人材が必要だと言えます。

まとめ

今回、XDRを題材にして、XDR概要、NGAV/EDR、導入メリット、製品選定の考慮事項についてご紹介しました。XDRは発展途上であり、今後ますます形が変わる可能性がありますが、企業の数年後のセキュリティ対策を考える上で、XDRが1つの検討材料になれば幸いです。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。