最新情報
2024.1.16
XDR(Extended Detection and Response)とは
XDRとは「Extended Detection and Response」の略で、サイバー攻撃の事後対処として、脅威がユーザ環境に万が一侵入した際に、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う機能のことを指します。
XDRの適切な定義の1つとして、「クロスレイヤー型の検知・応答ツール」が挙げられます。言い換えると、エンドポイント、電子メール、サーバー、クラウド、ネットワークなどの、さまざまなセキュリティレイヤーを通じてデータを収集した上で、それらを相互に関連付けるものです。つまり、XDRを使用することで、セキュリティチームは、エンドポイントだけでなく、複数のセキュリティレイヤーにわたって一元的に脅威の検知、調査、対応が行えるようになります。これにより対応能力を高め、生産性を向上させることができるほか、コストを削減できるようになります。
XDRとは、「Extended Detection and Response」の略語で、エンドポイントの監視を強化するEDRの機能を拡張したものといえます。XDRではエンドポイントだけでなく、ネットワークやアプリケーション、メール、データセンターなどさまざまな場所のデータを統合的に監視できるのが特徴です。そのため、システム全体を通じてサイバー攻撃などの脅威を検知したり防止したりするセキュリティ対策として使われています。
XDRは、2018年に生まれた新しいサイバーセキュリティ対策です。XDRの定義は一律ではありませんが、セキュリティマネジメントに詳しいガートナー社によると「複数のセキュリティ製品をネイティブに統合し、ライセンスされたすべてのコンポーネントを統合した一貫性のあるセキュリティオペレーションシステムを実現する、SaaSベースかつベンダーに固有のセキュリティ脅威検知およびインシデント対応ツール」だとされています。
XDRは複数のセキュリティ対策を統合する司令塔のような役割をするツールだと考えるといいでしょう。さらに、SaaSをベースとしていることから、クラウド上で提供されるサービスであり、ベンダー側でのセキュリティアップデートが随時行いやすいことも特徴です。単にセキュリティ対策を統合し検知能力をアップするだけでなく、日々変わっていく脅威への早期対応や導入コストの削減というメリットもあります。
XDRが注目され始めた背景
- ・様々なセキュリティ対策の出現
- ・アラートやアクティビティの見え方を統一し、優先順位付けも簡単に
以下で、それぞれ詳しく説明していきます。
様々なセキュリティ対策の出現
複雑化する脅威に対抗するため、セキュリティ対策が進化したことで、多くの脅威を検知できるようになりました。そのため、デメリットとして、個別のアラートが増えすぎてしまいました。アラートが増加すると、当然ながらセキュリティ担当者の負荷は増えます。
さらに、アラートの中には単なる誤検知もあり、セキュリティ脅威に含まれないものも多く存在するため、業務の効率化のためにも、XDRによる統合的なアプローチや優先順位づけが必要とされています。
アラートやアクティビティの見え方を統一し、優先順位付けも簡単に
セキュリティ対策を個々に対策すると、収集・分析されるデータも様々で、見え方も全て異なります。そこで、XDRの統合的なアプローチにより、見え方を統一することで重要度や対策もワークロードのすべてにおいて同じレベルで行えるようになります。これにより、優先度合いの高いセキュリティ対策も可視化することができ、業務効率化にもつながります。
XDRの仕組み
XDRは、エンドポイントだけでなく、複数のセキュリティソリューション、サービスのデータから悪意のあるログを抽出、相関解析を行い、潜在的な攻撃を特定することで、悪意ある脅威の検知を支援します。また、XDRは、効率の良い調査を実現するために時系列で脅威を把握することができます。これを通じて、以下のようにセキュリティチームが何をすればよいのか把握することができます。
- ・感染経路は?
- ・エントリポイントは?
- ・攻撃の起点は?
- ・その他の関与した部分が存在しているか?
- ・脅威がいかにしてシステム全体に広がったか?
- ・他のユーザーも脅威にさらされたか?
セキュリティ対策は4つのレイヤーで考える
セキュリティ対策をする上で重要なのが「レイヤー」を意識することです。レイヤーは、大きく「アプリケーション」「ミドルウエア」「OS」「ネットワーク」の四つに分類されます。
それぞれのレイヤーで「特定」「防御」「検知」「対応」「復旧」といった要素を意識してセキュリティ対策を設計します。
| レイヤー | 考慮すべき点の代表例 |
|---|---|
| アプリケーション | アプリケーションインターフェースへの脅威対策 アプリケーションレイヤーへの社内外からのアクセス制御など |
| ミドルウェア | ミドルウェアへのアクセス制御 ミドルウェアの暗号化など |
| OS | 不要なサービスの停止、アクセス制御 OSレイヤのマルウェア対策 |
| ネットワーク | ネットワークレイヤでのアクセス制御 不正通信の検知・遮断 ネットワーク型マルウェア対策 ネットワークレイヤでの監視など |
| 全体 | 構成管理(脆弱性管理) アカウント管理 ログの管理・監視 バックアップ・リストアなど |
アプリケーション
公開された Web サーバーは、外部からの攻撃を一番受けやすいレイヤーです。アプリケーションインタフェースの脆弱性を突いた攻撃(SQL インジェクション、クロスサイトスクリプティングなど)により、脅威が顕在化してしまうことがあります。対策としては、アプリケーションインタフェースの脆弱性のつぶし込みや、攻撃を受けたときに不必要なレスポンスを返したり、サービスが異常状態になったりしないような「要塞化」を行います。また、攻撃を最小限に防ぐため、必要最小限の通信プロトコルと接続元のみを許可するようなアクセス制御によって、攻撃手法をあらかじめ制限するといった手も併せて打ちます。
ミドルウェア
ミドルウエアは、内部に格納する情報が漏えいするケースを想定して対策を講じます。まず、ミドルウエアへのアクセス制御です。必要最小限の通信プロトコル、接続元、アカウントだけのミドルウエアへの接続を許可するようにして、多層的にアクセス制御を実施します。高度な脅威で、アクセス制御を突破された場合も想定します。ミドルウエア自体や内部のデータを暗号化して、データが漏えいしても見られないようにしておきます。
OS
OSの特権アカウント(rootやadministrator)を乗っ取られた場合、そのサーバーは掌握されたも同然です。まず、OSの不要なサービスやアクセスルートを制限するような「要塞化」を実施します。さらにこの対策が突破された場合に備え、通常のシステム処理と異なる挙動やプログラムの実行を検知して駆除するためのマルウェア対策を実施します。マルウェア対策はWindowsでは当たり前に実施されますが、UNIX系のOSでもシステムの重要性に応じて導入します。
ネットワーク
ネットワークは、上記三つのレイヤーへの脅威をその手前で防いだり、三つのレイヤーで発生したインシデントを検知したりするレイヤーとなります。
ネットワークレイヤーでもアクセス制御を実施して、接続元IPアドレスやプロトコルは必要最小限だけを許可するようにします。通信に、通常の処理と異なるような挙動があることを検知して遮断したり、通信内の不正なプログラムを駆除したりするようなマルウエア対策も有効です。アプリケーション、ミドルウエア、OSの対策が突破され、マルウエアなどが外部に情報を送信するような動きをした場合を想定して、監視、検知、遮断するような仕組みも重要になります。
XDRのメリット
XDRのメリットとして、以下の3つがあります。
- ・エンドポイントだけでなく、より広い範囲の統合的な監視が可能
- ・セキュリティ対策の統一が可能
- ・セキュリティ対策の迅速化が可能
以下にこれらの詳しい内容を説明していきます。
エンドポイントだけでなく、より広い範囲の統合的な監視が可能
XDRでは、ネットワークやアプリケーション、メール、データセンターなどエンドポイントを超えたサイバーセキュリティの脅威を監視するだけでなく、それらのデータを統合し、可視化することができるので、セキュリティ担当者の業務の効率化にもつながります。これにより、各エンドポイントを統合するための手作業を減らし、自動化・合理化が可能になります。業務プロセスやアプリケーションが孤立してしまう「サイロ化」の防止にもなります。
セキュリティ対策を統一が可能
従来のセキュリティ対策では、異なるベンダーが提供する多様なセキュリティツールを利用することもありました。しかし、それでは運用面で、故障やメンテナンスの際、連絡先が全て異なるなど、かえって非効率になる場合があります。
XDRを使えば、ネットワークからエンドポイントまでの各種ログを1つのセキュリティ対策で把握できます。なお、全体の状況を統合的、かつスムーズに知ることができるため、効率的なセキュリティ運用が可能です。
セキュリティ対策の迅速化が可能
複数箇所で多くのアラートが発生した場合でも、広い範囲の情報を一括収集・相関分析することにより、迅速に全体の攻撃を可視化できます。これは、セキュリティ対策の優先順位を素早く付けることが可能となります。
より業務の効率化にもつながるでしょう。
XDRを導入する際のポイント
XDRを導入する際には、以下の2つのポイントに注意しましょう。
部署が分かれている場合のネットワーク部門とセキュリティ部門の連携
XDRはネットワークからエンドポイントまでを統合的に監視するセキュリティ対策です。そのため、ネットワーク部門とセキュリティ部門が分かれている場合、スムーズに連携がとれるようにしておきましょう。
XDRの統合的なデータを活用し、よりスマートなセキュリティ対策をとろう
XDRはネットワークからエンドポイントまでを統合的に監視し、全体の状況を俯瞰的に把握できるセキュリティ対策です。エンドポイントをピンポイントで監視するEDRを拡張した技術であるとも言えます。個別のセキュリティツールでバラバラに管理していたデータやログを一元化でき、素早い対応が可能になるのが大きなメリットです。
なお、XDRを導入する際には、各部署で連携して業務を遂行することや、導入後の担当者の対応手順などを事前にしっかり決めておきます。人の手で行う作業の手順を決めておくことで、よりXDRのメリットを生かしたセキュリティ対策を取ることができるでしょう。
記事一覧へ