検索

「EDR/XDR/MDR」のノウハウ、賢い使い方のヒント

ユーザー企業のIT担当者を対象に、IT製品/サービスの導入・購買に役立つ情報を提供する無料の会員制メディア「TechTargetジャパン」。このコンテンツでは、EDR/XDR/MDRに関する運用&Tipsの記事を紹介します。製品/サービス選定の参考にご覧ください(リンク先のページはPR記事を含みます)。

XDRとは何か EDR、MDRとの違いは?

 XDR(extended detection and response)は、組織内の全てのITインフラのセキュリティ脅威を検出し、対処するために設計されたサイバーセキュリティツールを指す。XDRはEDR(endpoint detection and response)の進化形だ。EDRの管理対象はPCやスマートフォンといったエンドポイントである一方、XDRはエンドポイントに加えてネットワークやクラウドサービス、アプリケーション、さまざまなセキュリティツール、ID管理システムなどのあらゆるシステムが管理対象に含まれる。

EDR/XDR/MDR関連の運用&Tips

XDRとEDR、MDRを比較

 XDRは、通常は切り離されている各システムからセキュリティデータを収集し、それらのデータを1つのシステムに集約してセキュリティ対策を実行する。異なるシステムのセキュリティアラートやイベントを関連付けることで、XDRは組織のITインフラの状況に関する洞察を提供する。

 セキュリティ部門はセキュリティインシデントが発生したときに、XDRを使用してセキュリティインシデントの根本的な原因や被害を受けたシステムを調査できる。セキュリティチームはXDRを使い、攻撃者の可能性があるIPアドレスのブロックしたり、エンドユーザーまたはデバイスの隔離といったセキュリティ対策を自動化してサイバー攻撃の被害拡大を防止したり、システムの復旧に役立てたりすることも可能だ。

XDRはどのように動作するのか

 XDRは、以下の主要なステップを含む多段階のプロセスを通じて、脅威検出とインシデント対応の取り組みを支援する

  • データの収集と取り込み。
    • XDRソフトウェアが実行する最初の作業は、各システムのテレメトリーデータ(監視や分析のために利用できるシステム稼働状況に関するデータ)を収集して取り込むことだ。コネクターを使い、エンドポイントやネットワーク、クラウドサービス、ID管理システム、メールクライアント、その他の自社システムからデータを取り込む。収集される一般的なデータには、各システムのトラフィック(ネットワークを流れるデータ)やログデータ、ファイルのメタデータ、実行されたプロセスの詳細、エンドユーザーの操作やアクセス履歴、アラートなどが含まれる。大量のリアルタイムデータはストレージに保管され、XDRソフトウェアで分析可能になる。
  • データ分析と脅威検出
    • XDRソフトウェアは集めたデータを集約し、機械学習や行動分析、その他のデータ分析手法を適用して既知および未知のセキュリティ脅威を検出する。分析結果は、自社のITインフラ全てのセキュリティ状態を可視化できる管理コンソールに表示される。セキュリティアナリストは、タイムライン分析や脅威ハンティング、その他のXDR機能を使用して検出された脅威を調査できる。
  • 脅威の軽減とセキュリティ対策の自動化
    • 脅威を検出すると、XDRソフトウェアはIT管理者が事前に設定したアクションを自動で実行する。こうしたアクションには、感染したホストシステムの隔離やアプリケーションの強制終了、IPアドレスまたはドメインのブロック、ユーザーアカウントの無効化、電子メールの隔離などが含まれる。EDRやファイアウォール、アンチマルウェアソフトウェア、SIEM(セキュリティ情報とイベント管理)システムなどの、他のセキュリティツールの動作も、XDRで自動制御ができる。

XDRを使うメリット

 XDRは自社システムのセキュリティ対策を強化し、セキュリティ担当者の負荷を軽減する。XDRの具体的なメリットは以下の通りだ。

  • セキュリティ対策の強化
    • XDRで全社のシステムを横断した脅威の可視化や検出を実行し、攻撃を受けた後の対応を自動化することで、さまざまな種類のサイバー攻撃やセキュリティ脅威の被害を抑えられる。
  • 脅威検知の精度の改善
    • XDRソフトウェアでさまざまなシステムからデータを収集することで、ITインフラ全体で、セキュリティ脅威の迅速かつ正確な検出を可能にする。
  • より迅速なインシデント対応
    • 自動化されたワークフローとプレイブックに基づいたセキュリティ対応は、手作業の場合よりも検出された脅威の調査や封じ込めのための作業を迅速化する。
  • 生産性の向上
    • セキュリティ対策ワークフローの一元化と自動化は、セキュリティ担当者をより戦略的な作業に専念させ、単純作業に時間を浪費しないようにするための助けとなる。
  • 操作の簡略化
    • XDRプラットフォームが提供する統一された管理コンソールやレポート機能は、セキュリティ対策を効率よく管理するのに役立つ。
  • コスト削減
    • 複数の製品の購入や管理にかかる費用と比較して、さまざまなシステムを単一のXDRソフトウェアに連携させることで経費を削減できる。

EDRとは XDRとの違いは何か

 XDRはEDRの機能に基づいているが、管理対象をエンドポイント以外のシステムにも拡張している。

 EDRは、エンドポイントのみからデータを収集し、脅威検出の範囲やセキュリティ対策の自動化機能の適用対象はエンドポイントに限られる。一方でXDRはエンドポイントのみならず、さまざまなシステムからデータを収集する。XDRはITインフラ全体で脅威を検出し、対処することが可能だ。

 ワークフローはEDRでは断片的になる場合があるが、XDRは複数のシステムやセキュリティツールを連携させて動作させることが可能だ。EDRはデバイスの種類ごとに管理コンソールが分かれている場合があるのに対して、XDRは複数のシステムを単一のコンソールで管理できるようにしている。

MDRとは XDRとの違いは何か

 XDRとMDR(Managed Detection and Response)は、両方とも組織における脅威検出とインシデント対策能力を向上させることを目指しているが、その方法が異なる。XDRは顧客企業のセキュリティ担当者が利用するためのソフトウェア群だが、MDRはセキュリティベンダーが提供するマネージドサービスだ。MDRは顧客企業の脅威モニタリングや検出、調査、軽減作業を実施する。MDRサービスの提供に当たり、セキュリティベンダーはXDRやEDRを使うことがある。顧客企業はXDRとMDRを併用できる。

 MDRを利用することで、顧客企業は、自社のセキュリティ担当者が十分な知見を持たない最新の脅威に対処できるようになる可能性がある。

XDRへの課題に注意する

 XDRの導入には幾つかの課題が伴う。組織が認識しておくべきXDRのデメリットを説明する。

  • ITシステムの複雑性の増大
    • XDRと各種データソースを連携させるためにコネクターを配備する必要があるため、ITインフラの構造が複雑になる可能性がある。
  • 機能の不足
    • エンドポイントの管理機能を中心に備えたXDRの場合、ネットワークやクラウドインフラなどの特定のシステムの脅威検出に特化したセキュリティ製品と比較して、可視性が欠ける可能性がある。
  • 人材とスキルの不足
    • XDRを導入しても、十分なスキルや知識を持ったセキュリティ担当者の必要性がなくなるわけではない。組織にXDRを使いこなせるセキュリティ担当者がいない場合は、スキルのある人材を雇用するか、既存の従業員にトレーニングを実施するか、MDRに頼る必要がある。十分なスキルを持ったセキュリティ担当者がいる場合でも、組織に新しいITインフラを導入したときや、XDRに新機能が追加されたときに、追加のトレーニングが必要になる場合がある。
  • ベンダーロックイン
    • 単一のXDRベンダーの製品に依存することは、ベンダーロックインのリスクを生じさせる。
  • コストの増大
    • XDRの広範なシステムのデータ集約や分析のための機能は、ITインフラのコストを高める可能性がある。
ページトップに戻る