近年、NDR(Network Detection and Response)や、EDR(Endpoint Detection and Response)などを含めた、包括的なセキュリティ手法として注目を浴びているのがXDRです。
XDRはネットワーク全体からデータを収集・検知するため、断続的なセキュリティ管理により生じていたサイロを解消し、より効率的で的確なマルウェア監視や検知を可能にしてくれます。
本記事ではXDRによるセキュリティ強化の手法とXDRが必要となった背景について解説し、NDR やEDR といったDetection and Response支援ツールをとりまとめる重要性についてもお伝えします。
XDRとは新しいセキュリティ手法の1種
XDRはネットワーク全体(ネットワーク、エンドポイント、クラウドなど、すべてのネットワーク)のデータを収集・検知し、集約して管理する仕組みのことです。
ネットワークセキュリティに関する考え方は、かつては、ゲートウェイや各ノードの管理により、セキュリティに対する脅威をブロック・ゼロリスクにして脅威がないことを目標にしていました。
しかし、現在はクラウドサービスを企業も普通に使う時代となり、さらにテレワーク・リモートワークにより社外から会社のサーバーに接続することが一般的となっています。
企業のネットワークとは会社の管理する機器・サービスを丸ごと網羅するネットワーク空間のことであると考えてセキュリティリスクをコントロールすることが必要です。
さらに、近時のサイバー攻撃の性質を考えると、遠隔で通信をしながら企業のネットワークに侵入、必ずしも攻撃パターンで捕捉できず、通信の振る舞いを総合的に見て検知されるものが一般化しています。
一方、機器に関しては通信ポートが攻撃の入り口になることから、ポートの異常を早期に検知し、防御策を講じることが重要です。
XDRは、こうした企業のネットワークと、攻撃の入り口となり、情報を保存するエンドポイント=機器を統合的に監視するソリューションです。エンドポイントやクラウドなど各ポイントのデータを集約して監視・管理するため、それぞれで独立して監視していた時よりもサイロ化が起こりにくく、年々巧妙化するマルウェアの攻撃などに対しても、高い効果を発揮すると言われています。
「NDR」・「EDR」・「MDR」との違い
XDRは、一般的にはNDR・EDR・MDRなどを含む包括的なセキュリティ手法と考えられています。
NDR・EDR・MDRは同じように不正攻撃などネットワーク上の脅威を検知するシステムですが、検知対象・領域の点に違いがあります。
NDRとは、Network Detective and Responseの略で、リアルタイムの通信トラフィックデータや、ネットワーク内にあるアクセスログ・セキュリティログなどの情報を集めて、セキュリティに対する脅威を検知します。
一方、EDRはEndpoint Detection and Responseの略で、エンドポイント=ネットワークに接続されているPCやサーバー・モバイル機器の不正攻撃を検知するソリューションです。攻撃そのものを防ぐというより、リアルタイムで監視を行ない、迅速に異常を検知して対処することで、被害を最小限に抑えることを目的としています。
さらにMDRはManaged Detection and Responseの略で、EDRやNDRをリアルタイムで監視し、すみやかに脅威の検知や対処を行うセキュリティサービスです。
NDR・EDR・MDRはともに現代のネットワークセキュリティにおいてたいへん有効な手段ですが、それぞれの守備範囲には限界があり、集約して管理できる仕組みが求められていました。そのニーズに応えて生まれたのが、XDRだと言えるでしょう。
XDR はSIEMを強化するもの
XDRが登場する以前、企業が包括的なセキュリティシステムとして採用していたのが、「SIEM(Security Information and Event Management)」というセキュリティソフトです。SIEMはサーバーやシステム、デバイスやアプリケーションなど、さまざまな機器やソフトウェアからのイベントログを集約して分析し、脅威となりうる事象を検知すると、すぐに管理者に通知する仕組みになっています。
このSIEMにより、管理者は潜在的な脅威をいち早く認知し、迅速に対応や修復が行えるようになりました。XDRは、さらにその一歩先を進むコンセプトとして登場しました。では、SIEMとXDRの違いとは何なのでしょうか?
SIEMは膨大なイベントログやその他のデータを収集して分析することを目的としています。膨大なデータを一括管理できる点ではすぐれていますが、一方で脅威の可能性がある事象を見付けた場合、選別せずに通知するため、常に大量のアラートが生じるという課題もありました。
一方、XDRはNDRやEDRといったセキュリティコンポートネントを統合することで、より精度の高い検知と対応を可能にしています。アラートもすべてを通知するのではなく、優先度の高いものに絞れるので、より効率的でスピーディーなネットワークセキュリティを実現します。
Detection and Response支援ソリューションと連携し、より強固なセキュリティを
不正アクセスやウィルス、サイバー攻撃といったネットワーク上の脅威は、年々巧妙化しています。これまではNDRやEDRなど、単体で効果があったセキュリティ対策も、セキュリティサイロに隠れたステルス型攻撃などの登場により、充分に有効とは言えなくなってきています。
NDRやEDR、MDRなどを包括的に網羅したXDRのコンセプトは、巧妙化したマルウェアに対抗できる、新たなセキュリティ対策として期待されています。NDRやEDR、MDRといったDetection and Response支援ソリューションと連携させ、ネットワーク全体のDetection and ResponseをXDRとして取りまとめることで、企業のセキュリティ対策はより強固なものとなるでしょう。
ただ、自社でこうした包括的なセキュリティを行うとなると、専門の人材を社内に置かなければならず、場合によっては人を新たに雇う必要もあるなど、コストも労力もかかります。そうした負担がネックになり、新たなセキュリティ構築を躊躇しているのなら、専門企業のサポートを受けるのも一つの方法です。
ネットワークセキュリティの専門企業に依頼すれば、自社の人材を割くことなく最新のセキュリティシステムで迅速に脅威の検知・対応ができ、セキュリティ製品の導入から運営までまとめてサポートを受けられます。人材を雇用したり、教育したりする必要もないので、結果的にコスト削減にもつながるでしょう。
まとめ
NDR・EDRなどを含めた包括的なセキュリティコンセプトであるXDRは、それぞれの支援ソリューションを取りまとめることにより、より広範囲なデータから脅威の検知を行なうことができます。しかし、それらを自社で構築するのは、コスト・労力両面から負担に感じる企業もあるでしょう。その場合は、専門組織のサポートを受けるという方法もあります。
