/ XDRとは
XDRとは
XDR (拡張された検知と対応)は、サイバーセキュリティ ソリューションのカテゴリーの1つで、従来ばらばらになっていた脅威の検知と対応ツールとセキュリティ オーケストレーションを組み合わせたものです。組織のエコシステム全体(エンドポイント、クラウド、ネットワーク、脅威インテリジェンス フィードなど)からテレメトリーを収集することで、EDR (エンドポイントでの検知と対応)のみの場合よりも迅速かつ正確な検知、関連付け、脅威ハンティング、インシデント対応を可能にします。
XDRの仕組み
XDRは、セキュリティ情報とイベント管理(SIEM)ソリューションなどとして効果的に機能するローカル エージェントを使用し、そのままではデータ サイロとなるようなソースから、テレメトリーを収集します。マルウェアや高度な脅威を特定し、機械学習(ML)や自動化の力を活用しながら、優先順位付け、封じ込め、排除のためのさまざまな処理を行います。
そのために、以下の3つの中核機能を継続的に実行します。
1. 分析
サーバー、エンドポイント、クラウド、エコシステムのその他の部分からデータを収集し、関連付け、重要なアラートのみをセキュリティ部門に送信することで、アラート疲れを最小限に抑えることができます。
2. 検知
広範かつ高度な可視性を活かし、機械学習によってユーザーおよびエンティティーの正常な挙動のベースラインを確立します。その他の検知メカニズムのレイヤーに加えることで、セキュリティ上の脅威のサインとなり得る異常を調査できます。
3. 対応
脅威を隔離および排除するとともに、セキュリティ ポリシーを更新して将来の脅威を阻止します。ネットワーク、エンドポイント、クラウド環境にわたって存在するセキュリティ オペレーション センター(SOC)のリソースを1つのコンソールに統合できる点がEDRより優れています。
XDRのメリット
XDRは、データ環境全体の検知機能と対応機能を統合することで、いっそう広範なセキュリティ インシデントをカバーして、全体像のより完全な把握を可能にし、従来のセキュリティ製品やポイント ソリューションを上回る効果を発揮します。効果的なXDRプラットフォームを利用することで、以下のことが可能になります。
- 広範かつ高度な可視化およびインサイトの取得:エンドポイント以外にも視野を拡大することで、エコシステムのあらゆるポート、プロトコル、レイヤーにおける高度な脅威とそのエントリー ポイント、影響を受けるアセットや環境、手法などを理解し、修復と根本原因分析に役立てられます。
- 関連付けとトリアージの自動化:機械学習を活用した自動化により、データの関連付けとアラートの優先順位付けを行います。誤検知を回避し、手動のセキュリティ ソリューションでは解析できない大量のデータから真の脅威を浮かび上がらせ、セキュリティ部門の修復ワークフローを最適化します。
- より速く効率的な運用:脅威の全体像を一元的に把握できるようになり、管理および監視が必要なセキュリティ ツールが減るとともに、自動分析が可能になるため、運用の複雑さが軽減され、セキュリティのエキスパートは、プロアクティブな脅威ハンティングなど、価値の高い他のタスクに時間を割けるようになります。
XDRのユース ケース
XDRは主に3つのユース ケースに対応しています。
トリアージ
現代の組織のネットワークを標的とする脅威は膨大な数に上り、トップ レベルのスキルを持つセキュリティの専門家でさえ、十分なスピードでアラートに対応することができません。当然、迅速かつ正確に誤検知を識別し、特に重要性の高い脅威に優先的に対応することはできません。XDRは機械学習と高度な分析を活用して、エコシステム全体の脅威データからノイズを取り除き、質が高く管理可能な数のアラートを生成します。
脅威ハンティング
現在の高度な脅威は検知の回避に非常に長けており、脅威ハンティングはこれまで以上に重要かつ困難になっています。XDRは、機械学習を活用した検知および関連付けを行いながら、エコシステム全体を可視化するため、従来のSIEMソリューションだけでは見逃してしまう脅威を特定できます。
調査
XDRソリューションは、リアルタイム データや履歴データなど根本原因分析をサポートする豊富なコンテキストを提供し、攻撃で何が起こったのか、今後同様の攻撃を阻止するために何が必要かをセキュリティ チームが理解できるようにします。
XDRとその他の検知と対応テクノロジー
検知と自動対応のテクノロジーにより、企業はシステムを継続的に監視し、ネットワークやアプリケーションのトラフィックで発生した脅威を検知および調査し、封じ込めることができます。XDRは、機械学習と自動化のテクノロジーを活用して、こうした脅威のリアルタイムでの優先順位付け、封じ込め、排除を可能にします。
検知と対応を行うテクノロジーには、XDRの他に以下のものがあります。
EDR (エンドポイントでの検知と対応):エンドポイントやワークロードのマルウェアや高度な脅威の特定、優先順位付け、対応が可能です。ただし、エコシステムのその他の領域に対する可視性に欠けています。
NDR (ネットワークでの検知と対応):ネットワーク トラフィックに潜みファイアウォールを突破しようとする攻撃への対応に特化しています。
MDR (検知と対応のマネージド サービス):自社の担当者ではなく、サードパーティーのセキュリティ アナリスト チームがサービスを提供します。
NDRとEDRも、一時期はネットワーク セキュリティやエンドポイント セキュリティに革命をもたらしたソリューションですが、今日の複雑で多層的なデータ エコシステムにおいて現代のサイバー攻撃のボリュームや高度な手法に対応するには、より統合的な可視性や分析機能、そして、いっそうの精度やスピードが必要です。
XDRの重要条件
XDRの定義については、その他の比較的新しいテクノロジーと同様、さまざまな見方があります。XDRをXDRたらしめるのはどのような要素なのでしょうか。XDRの核となるのは、以下のような特長です。
- SaaSベース:XDRは基本的にクラウド サービスとして提供されます。これは、ホスティングやメンテナンスのコスト面で大きなメリットとなります。アップデートをすべての顧客に即座に配信できるため、効果的な保護を提供するための仕組みとしても重要です。
- エージェントベース:XDRはクラウドを基盤としていますが、データを収集してSIEMとしての機能を果たすには、物理エンドポイントと仮想エンドポイントにエージェントをインストールする必要があります。多くのエージェントは、ウイルス対策などのエンドポイント保護機能も実行し、SaaSとしてのXDRの機能を補完します。
- 統合:XDRの最も重要な点です。XDRは、あらゆるデータ ソースからテレメトリーを収集し、行動分析や高度な検知テクノロジーに活用します。これによって、ランサムウェアやその他の高度なマルウェアに対し、統合されていないポイント製品をはるかに超える保護を提供します。
ゼロトラストにおけるXDRのメリット
ゼロトラストの導入や、既存のゼロトラスト アーキテクチャーの強化を検討している場合は、クラウド提供型セキュリティ スタックにXDRを加えることをお勧めします。これにより、以下のようなメリットが得られます。
- クラウド セキュリティの合理化:マルチクラウド環境へのゼロトラストの導入には、いくつかの課題が伴います。XDRは、環境全体のクラウド ワークロードを統合し、包括的な監視をサポートすることでプロセスの大部分を合理化します。
- 可視性の向上:XDRは、環境全体でリアルタイム分析と一元的なセキュリティ分析を実行し、ゼロトラストのセキュリティ制御の円滑な展開および適用を支援します。
- 自動化:XDRは、識別、トリアージ、ハンティング、対応などの主要なタスクを自動化し、セキュリティ部門の負担を軽減します。AIと機械学習を活用したユーザーとネットワークの行動分析により、より迅速で効率的なセキュリティを実現できます。
- 優先順位付け:ゼロトラストでは、安全性を確認しない限り、あらゆるものが潜在的な脅威とみなされるため、XDRが非常に役立ちます。関連付けの自動化と機械学習を活用した分析によって、セキュリティ部門のアラート疲れを防ぎ、ワークフローを最適化して対応時間を短縮できます。
Zscalerを利用するメリット
Zscalerは、業界をリードするパートナーと連携し、クラウド ネイティブなZscaler Zero Trust Exchange™プラットフォームとXDRの力を統合しています。Zscalerが提携するXDRソリューションのパートナーは、高度なAI/機械学習を活用して、忠実度の高い脅威インテリジェンスとコンテキストを提供し、複数のプラットフォーム間で迅速かつ効果的な検知と対応を行い、エンドツーエンドの可視性を実現します。
ZscalerとCrowdStrike Falcon XDRの詳細はこちら
ZscalerとSentinelOne Singularity XDRの詳細はこちら
Zscaler Zero Trust Exchange
Zscaler Zero Trust Exchange™は、ゼロトラストの基盤の上に構築されたクラウド ネイティブなプラットフォームです。最小特権の原則に従い、ユーザーの場所、デバイスのセキュリティ態勢、通信されるコンテンツ、要求されているアプリケーションなどのコンテキストに基づいて信頼を確立します。信頼が確立されると、従業員はネットワークに直接接続されることなく、あらゆる場所で高速かつ信頼性の高い接続を得ることができます。全世界150拠点以上のデータ センターで稼働するZero Trust Exchangeは、ユーザーがアクセスするクラウド プロバイダーやアプリケーションと併置されており、ユーザーに近い場所でサービスを提供します。