XDR(Extended Detection and Response)とは
サイバー脅威の状況が常に変化し続ける中で、XDR はセキュリティチームの調査および対応時間の大幅な改善に役立ちます。しかし、すべての新しいアプローチがそうであるように、XDR とは何か、従来のセキュリティソリューションと何が違うのか、ユーザーはどのようなセキュリティ上の成果を期待できるのかについて混乱があるようです。
XDR の意味と定義
XDR(Extended Detection and Response)は、IT インフラストラクチャを保護するための多層型セキュリティテクノロジーです。XDR ではセキュリティ保護のため、エンドポイント、アプリケーション、E メール、クラウド、ネットワークを含む複数のセキュリティ層からデータを収集し、関連付けを行うことにより、組織のテクノロジー環境を可視化します。セキュリティチームはこれにより、迅速かつ効果的にサイバー脅威の検出、調査、対応を行うことができます。
XDR は EDR(Endpoint Detection and Response)をさらに進化させたものと考えることができます。EDR の対象はエンドポイントであるのに対し、XDR はさらに幅広い複数のセキュリティ制御ポイントを対象とし、詳細な分析と自動化により、さらに迅速に脅威を検出します。
現在のサイバー脅威の状況
サイバーセキュリティの状況は急速に変化し、拡大しています。過去 10 年を振り返ると、脅威の検出と対応を行うツールが普及し、どのツールも最新のサイバー脅威に先手を打つことを目指しています。リモートワークが登場し、クラウドに移行されるビジネス機能が増加したことにより、検出と対応は必ずしも単純には行かなくなりました。甚大な被害を及ぼすセキュリティ侵害がいつどこからやって来るかわからないのであればなおさらです。
現在のリスクの高いデジタル環境では、一貫して包括的にサイバー脅威に対処する方法を知っていることが重要です。サイバー犯罪に先手を取って対処するために、セキュリティチームは緊密な連携機能と充実した自動化機能を必要としています。
現在のサイバー脅威の状況の特徴としては、次のような点が挙げられます。
- 悪意のあるユーザーは、だれを標的にするか、どのような手法で標的に近付くか、攻撃に最適なタイミングはいつかを判断するために事前の情報収集にかなりの時間をかけるようになっています。このように事前計画のレベルが上がって攻撃が巧妙化し、捕捉が困難になっています。
- 攻撃者同士が連携してお互いのスキルを活用する傾向が高くなっています。たとえば、初期段階のアクセスを成功させる技術に長けたチームがラテラルムーブメントを得意とするチームと協力する場合があります。彼らがさらに、ランサムウェアを扱い、恐喝を目的としてデータを窃取する別のチームにこのアクセスを売り渡す場合もあります。こうして高度な連携が行われると複雑性が高まります。
- サイバー攻撃はネットワークのさまざまな領域を横断するようになっています。たとえば、最初の段階ではフィッシングメールや侵害可能なオープン IP を利用して従業員のワークステーションに侵入した場合でも、速やかにネットワークのマッピングを行ったうえで、データセンターやクラウドインフラストラクチャ、運用テクノロジー(OT)ネットワークに移動できるようになる場合があります。多くの企業でデジタルトランスフォーメーションが進み、さらにリモートワークが増加したことで、ほとんどの企業では攻撃対象領域が大きくなっています。
- 攻撃者は自らのアクティビティを隠ぺいする技術をますます巧妙化させています。攻撃者はインシデント対応への対策を行って、自分たちの行動を防衛側にわからないように隠します。つまり、正規のツールを悪用して攻撃の痕跡を隠します。
- 恐喝の方法も巧妙化しています。データの窃取、DDoS 攻撃、ランサムウェアを使用したり、極端な場合では、標的の顧客に連絡をとって法外な金額を支払うように圧力をかけさせる場合もあります。
- 組織内のネットワークにおいてセキュリティインフラストラクチャがサイロ化されている場合もあります。個々のセキュリティソリューションの連携が取れなければ、コンテキストのない状態で過剰なアラートが通知される可能性があり、セキュリティチームの負担が増加し、攻撃対象領域全体の可視性が低下するおそれがあります。
攻撃者が高度な手法を使って従来のセキュリティ制御を掻い潜ろうとする中で、企業は従来のネットワーク境界内外の脆弱性のあるデジタル資産を保護するために苦心する可能性があります。リモートワークへの移行によりセキュリティチームへの負担が増加しており、リソース不足に拍車がかかっています。担当者や社内リソースに過剰な負担をかけることなく、従来型のエンドポイント、モバイル、ネットワーク、クラウドワークロードを含む、組織のテクノロジー資産を守るには、プロアクティブで統合されたセキュリティ対策が必要です。
その結果、企業のセキュリティおよびリスク管理の責任者たちは XDR によるセキュリティのもたらすメリットと生産性の価値を検討するようになっています。
XDR の仕組み
XDR では、エンドポイント、ネットワーク、クラウド全体の統合された可視化と制御により、検出と対応の機能を高めることで、効率的なセキュリティ保護を実現します。
サイロ化されたセキュリティソリューションのデータを結び付けることで、脅威の可視性が改善され、攻撃の特定と対応に必要な所要時間が短縮されます。XDR により、複数の領域にまたがる高度な調査や脅威ハンティングの機能を単一のコンソールから利用できるようになります。
XDR セキュリティの仕組みには大きく分けて次の 3 つのポイントがあります。
- データ収集:第一段階は、エンドポイント、クラウドワークロード、E メール、ネットワークトラフィック、仮想コンテナなどからの大量のデータの収集と正規化です。すべてのデータが匿名化され、異常や脅威の可能性を特定するために必要な要素のみが含まれます。
- 検出:その後、高度な人工知能(AI)や機械学習(ML)を使用して、自動的に隠れた脅威を検出するために、データの解析と関連付けが行われます。
- 対応:次に、深刻度に基づく脅威データの優先順位付けが行われます。これは、セキュリティチームが新しいイベントの分析とトリアージを適時行えるようにするため、また、調査と対応のアクティビティを自動化するためです。対応の処理は、関連するデータやコンテキスト情報、ツールがまとめられた単一のセンターから実行できる必要があります。
XDR テクノロジーは、最終的な攻撃までのプロセスの流れを明らかにできるため、攻撃者の手順の分析を示すのに役立ちます。攻撃チェーンについて、資産に関連する脆弱性、資産の所有者、業務上の役割、脅威インテリジェンスで確認できるレピュテーションなど、資産のインベントリからの補足情報が付加されます。
セキュリティチームは日々大量のアラートにさらされている場合が多く、トリアージ処理の自動化やアナリストへのコンテキスト情報の提供がプロセス管理に役立ちます。セキュリティチームは XDR により、最も大きな損害を及ぼす可能性のあるアラートのみに集中できるため、時間を効率的に使えるようになります。
企業に XDR が必要な理由
XDR はサイロ化されたセキュリティツールを結び付けて統合し、分析、調査、対応を合理化します。これにより、次のような大きなメリットが組織にもたらされます。
統合型の脅威の可視化:
XDR によるセキュリティでは、エンドポイントのデータが匿名化され、ネットワークおよびアプリケーションの通信と組み合わされます。これには、アクセスの権限、アクセスされたファイル、使用中のアプリケーションに関する情報が含まれます。システム全体が可視化されることで、攻撃の検出とブロックを迅速に行えるようになります。
防止機能の強化:
脅威インテリジェンスと適応型機械学習により、構成とセキュリティ強化の機能が集約され、攻撃の可能性を防止するためのガイダンスが提供されます。
効果的な対応:
広範囲に及ぶデータの収集と分析により、セキュリティチームは攻撃経路を追跡し、攻撃者の行動を再構成することができます。これにより、侵入者を特定できる可能性が高まります。データは、防御の強化に役立つ有益な情報としても活用できます。
制御の強化:
トラフィックおよびプロセスに対するブロックリストや許可リストにより、システムにおいて承認されたアクションおよびユーザーのみが許可されます。
生産性の向上:
一元管理することでアラート数が減り、精度が向上するため、チェックすべき誤検知も少なくなります。単体のソリューションを複数組み合わせるのとは異なり、XDR は統合プラットフォームであるため、管理がしやすく、対応時にセキュリティ担当者がアクセスしなければならないインターフェイスの数が少なくなります。
セキュリティ侵害発生後のホストの復旧:
XDR は、セキュリティチームが攻撃を受けた後の復旧を迅速に進めるうえでも役立ちます。修復に関する推奨情報を参考にして、悪質なファイルやレジストリキーの削除、および被害を受けたファイルやレジストリキーの復元を行うことができます。
XDR のユースケースの例
XDR テクノロジーは、幅広いネットワークセキュリティの課題に対応できます。組織のニーズやセキュリティチームの成熟度に応じて、具体的な導入の仕方は異なります。用途の例としては、次のようなものがあります。
トリアージ:
XDR は、データの集約、システムの監視、イベントの検出、セキュリティチームへのアラート通知のためのメインのツールとして使用できます。
調査:
XDR ソリューションはイベントに関する情報のリポジトリとして使用できます。この情報を脅威インテリジェンスと組み合わせることで、イベントの調査、対応の判断、セキュリティ担当者のトレーニングに利用できます。
脅威ハンティング:
XDR ソリューションで収集されたデータは脅威ハンティングを実施するためのベースラインとして使用できます。さらに、脅威ハンティングの過程で使用、収集されたデータを活用して、新しい脅威インテリジェンスを抽出し、セキュリティプロトコルおよびシステムの強化に活かすことができます。
XDR のメリット
XDR は、複数のセキュリティツールを集約して、セキュリティインシデントの検出と対応のための一貫性のある統合型プラットフォームを実現することにより、高い付加価値を提供します。XDR の主なメリットとしては、次のようなものがあります。
- 大量のアラートがはるかに少数のインシデントに集約され、手作業で調査を行うための優先順位付けができるようになります
- アラートを迅速に解決できるような十分なコンテキストが得られる、統合型のインシデント対応の選択肢が得られます
- ネットワーク、クラウド、エンドポイントを含む、インフラストラクチャの制御ポイントを超える対応の選択肢が得られ、包括的な保護を実現できます
- 繰り返し実行するタスクを自動化することで生産性が向上します
- 複数のセキュリティコンポーネントの管理およびワークフローを共通の方法で操作できるため、効率性が向上します
突き詰めると、主なメリットとしては、保護、検出、対応機能の強化、セキュリティ運用担当者の生産性の向上、セキュリティの脅威の効果的な検出と対応にかかる総所有コスト(TCO)の低減が挙げられます。
XDR ソリューションに求められること
XDR ソリューションに求められる主な機能には、次のようなものがあります。
特定の制御機能への非依存:
複数のテクノロジーとの連携が可能であり、ベンダーロックインを回避できること。
マシンベースの関連付けと検出:
大規模なデータセットを適時分析し、誤検出の数を抑えられること。
事前構築済みのデータモデル:
ソフトウェアエンジニアによるプログラミングやルールの作成を必要とせずに、脅威インテリジェンスとの連携および検出と対応の自動化ができること。
本番環境での連携:
これまでの投資を最大限に活かせるように、SIEM(Security Information and Event Management)ソリューション、SOAR(Security Orchestration And Response)テクノロジー、ケース管理ツールの置き換えを必要とせず、XDR ソリューションがこれらと連携できること。
セキュリティ検証との連携:
XDR とセキュリティ検証の連携ができると、セキュリティチームがセキュリティスタックの運用状況、どこに脆弱性があるのか、パフォーマンスギャップに対処するためにどのような対処を取るべきかなどの認識を深めるのに役立ちます。
XDR と検出および対応に関わるその他のテクノロジーとの違い
XDR は、複数のソースのデータの集約、正規化、関連付けを行って、包括的な可視化を行い、高度な脅威を明らかにする点が、他のセキュリティツールと異なります。
XDR テクノロジーでは、複数ソースのデータの収集と分析を行うことにより、アラートの検証を適切に行うことができるため、誤検出が減り、信頼性が高まります。そのため、セキュリティチームの時間の節約になり、対応の迅速化、自動化ができます。
XDR は EDR とは異なります。EDR システムは脅威の管理に役立ちます。すべてのエンドポイントの現在のアクティビティを対象とし、高度な機械学習を使用してそのアクティビティについて把握して対応を指定し、自動化により、必要に応じて迅速にアクションを実行します。
XDR システムは、この原則に基づいて構築され、ネットワーク、E メール、クラウドワークロード、アプリケーション、デバイス、ID、データ資産、モノのインターネット(IoT)などの、エンドポイント以外のデータストリームを統合します。これらの付加的な要素により、より多くの脅威、セキュリティ侵害、攻撃を発見し、より効果的に対応することが可能になります。エンドポイントだけでなく、広くインフラストラクチャ全体でアクションを実行することができるためです。また、XDR では、何が起きているのかについて詳しいインサイトが得られます。
企業によっては、EDR と SIEM(Security Information and Event Management)ソリューションを組み合わせてサイバー脅威に対応しようとしている場合があります。しかし、SIEM ソリューションで収集されるのは多数のソリューションの浅いデータであり、XDR では対象のソースのより深いデータを収集できます。このため、XDR では、イベントに関する優れたコンテキスト情報が得られ、手動での調整やデータ統合の必要がなくなります。アラートのソースは XDR ソリューションに対してネイティブであるため、SIEM の場合にアラートの監視に必要な統合やメンテナンスの処理が XDR では不要になります。
最終的に、組織のネットワーク内に脅威が残存する期間が長いほど、攻撃者がシステムに損害を与え、貴重なデータを窃取するチャンスが多くなります。そのため、脅威を認識した場合は可能な限り速やかに対応を実行することが重要です。セキュリティチームには、脅威が存在する場合にそれを知るための優れた手段と、攻撃が行えわれた場合に起こりうる被害を最小限に抑えるために、速やかに脅威を明示し、無害化するための手段が必要です。それこそが、XDR が対処する課題です。
XDR に関する FAQ
XDR によるセキュリティ、XDR テクノロジー、XDR のサイバーセキュリティに関してよく寄せられる質問には、次のようなものがあります。
XDR とは何ですか?
XDR は、Extended Detection and Response の略であり、サイバーセキュリティの脅威の監視と軽減を行うテクノロジーを意味します。XDR は、エンドポイント、ネットワーク、クラウドデータを含む、複数のセキュリティ層のデータを収集し、自動的に関連付けを行います。それにより、脅威の検出を迅速に行うことができ、速やかに高い精度で対応を行うことができます。
XDR はどのような仕組みになっていますか?
XDR は脅威の検出と対応へのプロアクティブなアプローチを実現します。XDR では、すべてのデータを可視化し、分析と自動化を行うことで、現在のサイバーセキュリティの脅威に対処することができます。XDR では、E メール、エンドポイント、サーバー、クラウドワークロード、ネットワークのすべてのアラートを収集し、そのデータを分析して、脅威を特定します。そのうえで、脅威の優先順位付け、ハンティング、修正を行い、セキュリティ侵害を防止します。
XDR と EDR にはどのような違いがありますか?
EDR(Endpoint Detection and Response)は、継続的な監視と脅威の検出、および自動的な対応を目的とするものです。ただし、これらの機能の対象となるのはエンドポイントレベルに限定されます。それに対して XDR の優先事項は EDR と同様ですが、その対象にはエンドポイントだけでなく、クラウドワークロード、アプリケーション、ユーザー ID、さらにネットワーク全体が含まれます。
関連するカスペルスキー製品
- Kaspersky Managed Detection and Response
- Kaspersky Endpoint Detection and Response Expert および Kaspersky Anti Targeted Attack Platform
他の読み物:
XDR(Extended Detection and Response)とは
Kaspersky
