XDRとは
XDRのXは、Extended(拡張したもの)を意味しており 、Extended Detection and Responseの略になります。日本語では、「拡張型検出および対応」などと訳されますが、セキュリティ上の脅威が侵入した場合に、その脅威を検出し、必要な対応をとるセキュリティソリューションの総称として使われます。
近年注目されたEDRがエンドポイントを対象としているのに対して、XDRはセキュリティレイヤーをネットワークやクラウドなどITシステム全体までを対象としており、より幅広いレイヤーでセキュリティレベルを高めることを目的としています。
XDRとEDRやNDRとの違い
セキュリティ上の脅威を検出し、その脅威に対して対応をするソリューションとして、EDR(Endpoint Detection and Response)やNDR(Network Detection and Response)などもあります。
違いは対象とする領域(セキュリティレイヤー)
EDRはエンドポイントに特化したセキュリティ対策ソリューションであり、NDRはネットワークに特化したセキュリティ対策ソリューションです。こうした特定の対象について脅威の検出や対応を行うソリューションに対して、対象とするセキュリティレイヤーを拡張(extend)して、エンドポイントもネットワークも、クラウドにさえも対応するのがXDRです。EDRについては以下、関連記事にて解説しています。
XDRが重要である理由
以前はエンドポイント(パソコンやスマートフォンなど)を経路として侵入する脅威が多かったため、万が一、エンドポイントから侵入されてしまった場合に、侵入経路や根本原因を特定して、当該の脅威を検出・可視化し、その上で必要な対処を施すことで、被害の拡散を防ぎ、被害を最小限に抑えることができました。
サイバー攻撃対象の多様化
しかし現在では、エンドポイントに限定されたインシデントの検出や対処では不十分になってきています。サイバー攻撃の脅威は、エンドポイントはもとより、メール、ネットワーク、サーバー、さらにはクラウドにまで及んでおり、これらの複数レイヤーを網羅的に対策して、サイバー攻撃の全体像を可視化することが必要になってきています。
従来、エンドポイントはEDR、ネットワークはNDRといったように個別に対策していたために、それぞれのソリューションが検出したインシデントに対して、セキュリティ管理者が個別に対応していました。そのため、大量のアラートに忙殺されるという事態になっており、改善が必要とされていました。
XDRの仕組み
XDRは大きく3つの仕組みで構成されており、①データ収集、②異常なふるまいなどの検出、③検出されたインシデントにほぼ自動的に対応することです。
XDRでは、エンドポイントやサーバー、ネットワーク、クラウドなどの稼働状況やパフォーマンスを、テレメトリによってデータ収集します。こうして収集されたデータを分析(テレメトリ分析)することで、異常なふるまいなどを検出します。そして、サイバー攻撃の可能性が高いふるまいを検知すると、必要な対処をほぼ自動で実施するところまでをカバーしています。
セキュリティソフトウェアなどからデータを収集し、監視と分析のために遠隔地に伝達するプロセスのことを指します。XDRでは、エンドポイントやサーバー、ネットワーク、クラウドなどからあらゆる情報を収集し、分析環境に伝達します。これらのデータを分析する行為をテレメトリ分析といいます。
1.テレメトリによるデータ収集
テレメトリによるデータ収集において重要なポイントは、対象となるエンドポイントやサーバーなどが「ベンダーロック(特定メーカーの機器に限定)していないこと」です。導入するXDR製品によっては、ベンダーロックされているものもあり、特定のネットワーク機器やUTM製品をリプレイスしなければならない場合があります。こうした場合、過大な投資が必要となり、XDR導入のハードルが上がってしまう要因にとなりますので注意が必要です。
2.テレメトリ分析に基づく検出
巧妙化するサイバー攻撃の挙動を的確に検出するためには、すべてのセキュリティレイヤーから収集したログなどのデータをもれなくテレメトリ分析できていることが重要です。
XDRでは様々な機器から膨大なログデータを集約し、分析を行うため、非常に高スペックなコンピュータリソースを必要とします。XDR製品の中にはなるべく低負荷に抑えるため、分析前にログをフィルタリングし、一部のデータのみを分析する手法を採用しているものもあります。しかし、こうした分析・検出手法では、見逃しが発生するリスクもあるため注意が必要です。
XDRの特徴の1つは、テレメトリ分析において複数のセキュリティレイヤーから収集したログなどを相互に関連付けることで、「統一的にセキュリティ評価を実現できること」です。こうした仕組みによって、ランサムウェア攻撃においては攻撃者の侵入初期行動を検知し、水平展開や機密データの漏洩、データの暗号化などへ被害が拡大する前に封じ込めすることが可能になります。
3.対応
異常なふるまいなどを検出した場合、XDRは素早く管理者に通知します。管理者に対する通知は、検出された異常なふるまいなどが、対処すべき事象なのかどうかを判断するために必要な情報を含みます。
XDRの主な機能
XDRの主な機能としては、以下の3つがポイントとなります。
1.サイバー攻撃の可視化
EDRやNDRでも、サイバー攻撃を可視化することは可能です。仕掛けられたサイバー攻撃に対し、EDRあればエンドポイントが、NDRであればネットワークでのアクセス挙動から攻撃の状況を可視化します。
一方、XDRは対象となる複数のセキュリティレイヤーにまたがるサイバー攻撃を可視化できるため、現在のセキュリティ行為やリスクを包括的に把握することができます。
2.MITRE ATT&CKをベースにした攻撃手法の分析
MITRE ATT&CKは、CVE(共通脆弱性識別子)を基にして、サイバー攻撃と、その防御策などについて体系化されたフレームワークです。
多くのXDR製品は、サイバー攻撃の検出と対応について、MITRE ATT&CKをベースとすることによって、既知のサイバー攻撃のパターンに対応し、一定のセキュリティレベルを確保しています。しかし、攻撃者の研究によって未知のサイバー攻撃も次々に開発されています。そのため、各XDRメーカーは独自の方法で新たな攻撃を検知する手法を実装し、セキュリティレベルを向上させています。
3.インシデント対応の自動化
XDRはインシデントを検知した場合、その後の処置が自動化されているものが一般的です。どこまで自動化されているかは、各製品によって異なります。まずは、XDR製品にどこまでの処置を求めるのか、検知だけか、ブロック・保護までか、事後の対応まで求めるかを検討し、対応する製品やオプションサービスを選定すると良いでしょう。
XDRがもたらすメリット
XDRを導入することで多くのメリットがありますが、特に重要な2つのメリットをご紹介します。
1.大量のアラート処理からの解放
EDRやNDRなどを用いたセキュリティ対策では、各セキュリティ製品の検出機能によって、異常な挙動と判断された場合にアラートが発せられます。セキュリティ担当者は、EDRやNDRからのアラートも含め、すべてのアラートに対応することが求められます。
しかしXDRでは、各セキュリティレイヤーを統合的に監視することで、複数のセキュリティレイヤーからのログをテレメトリ分析することができます。このようなアラートの対象となるログの相互関係や前後関係を把握し、それらが一連の攻撃であると特定できれば、根幹となる部分にのみ対処することで問題を解決できます。
このような対応が可能となることで、XDRは大量のアラート処理からセキュリティ管理者を解放してくれます。
2.セキュリティ運用の効率化
前述の「大量のアラート処理からの解放」とも関連しますが、XDRの導入によって、従来のセキュリティ運用の手間を軽減し、業務を効率化することが可能となります。従来であれば、サイバー攻撃による被害が発生してから、セキュリティ管理者がそれを認知し、その対応に追われるという流れが一般的でした。
しかし、XDRを導入することによって、サイバー攻撃の初期段階で対応がとれるので、プロアクティブな対応が可能となり、セキュリティ運用業務を効率化することが可能となります。前述の「大量のアラート処理からの解放」ともあいまって、セキュリティ管理者の業務効率を大幅に改善することが可能となります。
Cybereason XDRについて
丸紅情報システムズが提供する「Cybereason XDR」は、国内シェアNo.1の実績をもつEDR製品をベースとした、ベンダーロックのないオープンXDRです。国内シェアNo.1のEDR製品と、豊富な実績をもつEPP製品を統合することで誕生したCybereason XDRは、高い検出能力を実現しています。
また、MDR(Managed Detection and Response)を活用すれば、本来ユーザーサイドが担う、脅威の特定と監視、脅威への対処、脅威の影響の低減を実現するための一連の作業を、Cybereasonサイドにアウトソーシングすることも可能です。
サイバー攻撃に対抗するためのセキュリティ対策は、EPPやEDRでは十分とはいえません。複数のセキュリティレイヤーで、統合的な対策を実施することが今後必須のポイントとなっていきます。そのため、XDRの導入は不可欠であり、Cybereason XDRなら、着実にセキュリティレベルを向上させることが可能となります。
