3min. read

実際のところ、XDR は何を意味するのか。

2018 年にパロアルトネットワークスの Nir Zuk が提唱した XDR (eXtended Detection and Response: 拡張ディテクション & レスポンス ) は当初、セキュリティ向けデータ分析アプローチのサイロ化という 課題への回答として生まれました。従来のアプローチは 1 種類のデバイスや領域 ( 例 : エンドポイン ト、ネットワーク、ユーザーの振る舞い ) だけを対象としており、リスク検出につながる他の重要領 域のコンテキストや指標が欠ける場合がありました。XDR は重要領域をすべて分析し、イベントに関 連したデータを漏れなく把握可能な包括的プラットフォームでまとめてから、環境全体を対象とした 追跡手順と修復手順を提供します。SOC は有害でリスクあるイベントに対応する必要があるためです。

XDR の成り立ち

パロアルトネットワークスは、相談を受けていた顧客環境で発生する重大セキュリティ イベントの可視化・把 握についての課題に着目しました。その結果、ベンダーが販売する特定の領域に特化しサイロ化した製品と、 企業が求める包括的な統合プラットフォームとの間にギャップが存在することを突き止めたのです。XDR の 目的は、企業 IT インフラのさまざまな側面から収集した情報を繋ぎ合わせることで、このギャップを解消す ることにあります。

さらに、近年大幅に増加している生データを相関付けられる機械学習エンジンを XDR に搭載することが非常 に重要になります。その目的は、アナリストが重要なイベントだけを受け取るようにして、不明瞭で無関係 なアラートに忙殺されることを避けます。こうしたディテクションとレスポンスをあらゆる IT 運用に拡張す るという方針の鍵となるのが、XDR の「X」です。これを具体的に表現するため、これまでの XDR の歩みと、弊社が考える今後の方向性を示す ビジョン マップを作成しました。

サイバーセキュリティ分野で XDR が重要な理由

エンドポイント用、ネットワーク用、脅威用と分かれたデータセットから、これらをすべて集約したビュー へ、さらに単一のプラットフォームへ移行すると、全社的なセキュリティ運用状況と IT 利用状況を把握する 方法が根本的に変化します。あらゆる要素を 1 画面から把握できるため、重大イベントの見逃しや誤検出が 減り、コンテキスト不足、技術障壁、手作業の集約、レポート作成に関する問題が軽減されます。サイバー犯 罪の主体は、個人の「ハクティビスト」が独立した犯罪ビジネスに発展するモデルから、国家レベルの運営者 へと変化しました。その結果、想定される攻撃の複雑さも悪化しています。機械学習システムによる統合デー タセットの分析は、こうした脅威との戦いに変革をもたらしているのです。

XDR を取り巻く市場

XDR という概念に対する市場では、多くのベンダーがこの言葉をしぶ しぶ受け入れています。ただし、自社の EDR 製品や NDR/NTA 製品を XDR に見せかけることに力を注いでいるようです。例えば、情報源か ら適切にデータを収集できるように土台のアプリケーションを変更 せず、全情報が「一元化された情報源」として表示される UI/UX だけ を見直したベンダーも複数存在します。これは、サイロ化したデータ ストリームを 1 画面で表示しているにすぎません。また、詳細な可視 性を重視した新規参入企業も増加していますが、IT インフラを構成す る多種の装置を漏れなくカバーしていないため、対応する領域にすら 死角が存在します。さらに、最大の問題として機械学習による自動化 機能を持たない製品が存在します。この場合、無数のアラートが原因 で適切な対応が不可能になるという問題や、不完全なデータが原因で インシデントに至る一連のイベントの流れをアナリストが把握でき ないという問題が生じます。

アドバイス : XDR を導入する際に 経営陣が考慮すべきこと

XDR のコンセプトは、根本的な連携が不可欠な 2 大原則を中心とし ています。 1) すべてのデータ ストリームを統合・相関付けし、理解 可能な 1 つのイベントにまとめる必要がある。2) イベントの重大度 と、イベントがアナリストによる追加調査が必要なインシデントの一 部であるかを自動判定する何らかのシステムが必要である。どちらが 欠けても成立しません。企業が最新のサイバーセキュリティ対策の取 り組みを成功させるには、2 つの要素が両輪として機能することが必 要です。