以前、エンドポイント対策のEDRについてご紹介しましたが、今回は監視対象をエンドポイントからネットワーク、クラウドにまで拡張したXDRについて基礎知識から導入のメリットまでわかりやすくご紹介します。
目次
EDRの"拡張版"?「XDR」とはなにか
進化を続ける脅威に対抗するために、セキュリティー対策も次々に新たなものが登場しています。近年、注目を集めてきたエンドポイント対策の「EDR(Endpoint Detection and Response)」に続いて、「XDR(Extended Detection and Response)」というキーワードを見かける機会が増えてきました。XDRはエンドポイントからネットワーク、メール、Webアクセスなどさまざまなログを収集し、相関分析することで、不審な挙動などの異常を検知するソリューションを指します。エンドポイント対策であるEDRを"拡張したもの(Extended)"というワードをベースに、対策の対象を限定せずさまざまな領域を扱うことから、変数としての「X」をピックアップして、「XDR」という言葉が生まれたと考えられます。
XDRは主に「複数のセキュリティー機器・サービスからログを収集する」「集めたログを相関分析する」「異常を検知・通知する」の3つの機能で構成されますが、XDRにはさまざまな企業が参入しており、それぞれの立場によってアプローチが異なります。例えば、ネットワーク機器のベンダーであれば、ネットワーク機器をベースにしており、エンドポイント対策ソフトのベンダーは、エンドポイント対策ソフトから拡張する形をとっています。ソリューションによって特徴や強みが異なるため、自社の事情や既存環境にあわせて選ぶ必要があります。
EDR、EPP、MDR、NDR......用語を整理して理解する
XDRもその1つですが、ここ数年でセキュリティー関連の用語が一気に増えました。一度これらの用語を整理して解説します。
エンドポイント対策
エンドポイント対策関連で押さえておきたい用語は「EPP(Endpoint Protection Platform)」と「EDR」の2つです。まず、「EPP」は、従来のパターンマッチング型ウイルス対策ソフトやふるまい検知機能などにより、未知のマルウエアも検知できることを謳った次世代型アンチウイルス(NGAV)を中心としたエンドポイント対策の総称です。
EPPは進化を続けていますが、すべてのマルウエアを防ぐことは難しいと言わざるを得ません。そこで、マルウエアに感染してしまうことを前提とした対策として「EDR」が登場しました。EDRはPCなどのエンドポイント端末を監視して不審な挙動を検知することで、迅速な対処につなぎ、社内での感染・被害拡大防止を目指します。
参考:
EPPとなにが違う?EDRの基本と、導入すべき理由
セキュリティー運用
多様化するサイバー攻撃にあわせて、セキュリティー対策が高度化するなかで、その運用が課題となっています。特にEDRでは検知された内容に対して適切に対処する必要があり、セキュリティーの専門知識・スキルが求められるため、企業が自社内ですべて運用することは難しくなります。そのなかで登場したのが「MDR(Managed Detection and Response)」です。これは、脅威の検知からその後の対処までをおこなうマネージドサービスであり、提供するベンダーが増えています。
ネットワークセキュリティー
EDRがエンドポイント端末の挙動を監視するのに対し、ネットワークに関するあらゆるログを監視することで、脅威を検知するのが「NDR(Network Detection and Response)」です。
近年のサイバー攻撃は、端末にマルウエアなどが感染して終わりではなく、社内のほかの端末を感染させる、管理者権限を乗っ取る、不正サーバーとやり取りするなど、長期的な活動により被害が広がるケースが増えています。そこで、ネットワークを監視することで、こういった脅威を検知するNDRが注目されるようになりました。
EDRやNDRなどさまざまなセキュリティー対策が登場するなかで、それぞれの対策を一気通貫で管理し、対策を強化するものとして登場したのが「XDR」なのです。
EDRだけでは足りない?今、XDRが必要とされる理由
エンドポイントでの対策強化としてEDRを導入する企業は増えていますが、それでも把握できるのは端末の情報のみに限られます。また、「なにか不審な挙動がある」ことがわかったとしても、ネットワーク上でどのような通信があるのかを解析し、制御・ブロックするには、ファイアウオールなどネットワーク機器との連携が欠かせません。エンドポイントだけではなく、プロキシサーバーやメール、Webアクセスなどさまざまなログを組み合わせて状況を把握し、対処することが求められます。そのため、すべてに一括で対応可能なXDRが今、注目されているのです。
EDR・XDRともに登場した当初は大企業での導入が中心でしたが、比較的小規模な医療機関がサイバー攻撃を受けたケースや、大企業と取引するサプライヤーが狙われるケースが相次ぎ、中堅企業でもEDRやXDRの検討が進んでいます。XDRの"全体像"としては、各種セキュリティー対策をすべておこなった大規模なイメージが紹介されることも少なくありませんが、必ずしも「すべての対策をしなければならない」というわけではありません。例えば、EDRとあわせて、ファイアウオールとの相関分析からスタートする、といった形も十分有効であり、既存資産を生かしながら、少しずつ対策を進めていくとよいでしょう。
XDRのメリットはセキュリティー対策の"集約"
XDR導入のメリットは、セキュリティー対策を集約し、1ヵ所で管理できるようになる点にあります。これにより、エンドポイントやネットワークなどのログを1つのコンソールで確認でき、全体の状況をスムーズに把握できるようになります。
また、複数のセキュリティー機器・サービスの情報を自動で関連付けて脅威を検知することも特長です。例えば、1つのインシデントが発生した場合にも、これまではエンドポイント対策、ファイアウオール、UTMなどそれぞれでアラートが発生し、1つずつチェックする必要がありましたが、XDRではアラートを集約して1つのまとまりとして通知されるため、スムーズに状況を確認・判断できます。
このようにセキュリティー運用の負担を大きく軽減できることはXDRのメリットですが、そもそもEDRの運用サービスやMDRなどセキュリティー運用を代行するサービスも多くあり、ネットワーク機器のログまであわせて運用・監視するものも提供されています。もちろん運用をすべて外部に任せてしまうのも1つの方法ではありますが、運用範囲が広がるとコストもかかるもの。コスト面からも、どこまで任せるのか、どこまで自分たちで運用するのかを判断する必要があり、自分たちで運用するならば、1ヵ所で全体を管理できるXDRのメリットは大きいと言えます。
セキュリティーからネットワークまで幅広く扱ってきたユニアデックスの強み
XDRを適切に導入・運用するにはエンドポイントからネットワークまで社内の環境全体を見る必要があり、幅広い知見が欠かせません。ユニアデックスはセキュリティー対策製品からネットワーク機器、ファイアウオールなどの運用、ネットワーク監視サービスまでさまざまな領域を手がけ、エンドポイント対策、セキュリティー機器、ネットワークなど各分野に強いエンジニアが揃っています。また、複数ベンダーの製品を扱い、ベストオブブリードで提案できることもユニアデックスの強みです。各製品・サービスの特徴や得意分野にも精通し、お客さまごとの事情や既存環境にあわせた最適な構成を提案します。EDRからどのようにXDRへと対策を進めればよいのか、なにからスタートすればよいのか、コストから運用まで含めて「できることから始める」提案が可能です。まずはご相談ください。