EDRなどよりも更に踏み込んでセキュリティ対策を強化したいと考えている方へ。製品が拡大してきたXDR製品の導入メリットや機能などを、選定ポイントと共に紹介します。
XDRとは「Extended Detection and Response(広範な検出と対応)」の略称。巧妙化や複雑化し続けるサイバー攻撃に対抗するためのセキュリティソリューションとして、現在、多くの企業や組織で注目されています。
EDRがPCやスマホ、タブレットなどの端末(エンドポイント)を監視するのに対し、XDRはエンドポイントやネットワークに加えて、電子メールやサーバー、クラウドといった複数のセキュリティレイヤーを一元的に監視・対応・管理できるのが特徴。より広範囲なログを監視することで、総合的なセキュリティ対策が可能に。
EDR製品を提供しているベンダーが、既存の製品に機能を追加して開発しているケースが多く、「EDRの拡張版」ともいわれています。
XDR製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
EDRXDRを使ったセキュリティ対策の必要性は、主に次の3つが背景として挙げられます。
昨今のデジタル化やテレワークの普及に伴い、端末やデータが社外に点在することが増えています。そのためエンドポイントの監視だけでは、セキュアな環境を保つことが困難に。より広い範囲を一元的に監視できるXDRの必要性が高まっています。
監視しなければいけない範囲が拡大するとともに、サイバー攻撃の手口も巧妙化しています。悪質な攻撃に迅速かつ的確に対応するため、素早い検知と影響範囲の全体的な把握、調査・分析、対処を一元化できるソリューションが必要です。
ゼロトラストとは、「信頼がゼロ=何も信頼しない」を基本とするセキュリティの考え方です。従来は、企業の内部と外部を「境界」として、「社内のネットワークは安全で、社外は危険」とする見方がありました。しかし、現在はクラウドサービスの普及や働く環境の多様化によって、「境界」自体が通用しないケースが増えています。そのためゼロトラストというセキュリティ・モデルが重要視されているのです。
従業員数が多く、ビジネスが拡大している企業や組織で、XDR製品は特に注目され、導入が進んでいます。
搭載されている機能は製品によって異なりますが、XDR製品の導入によって、主に以下のようなセキュリティ対策が可能になります。
振る舞い検知と情報収集 | PCやスマホ、タブレットなどのエンドポイントをはじめ、電子メール、サーバー、クラウドなど、複数のレイヤーで発生する不審な挙動や異常な活動を自動で検知。各所のログを収集する |
---|---|
インシデントの管理と通知 | 複数のレイヤーから収集したデータをもとに、複合的な証拠を検出して、単一のインシデントとして管理。関連イベントなどと共に、高性能なアラートを生成し、情報システム部門の管理者に通知する |
スコアリング | インシデントの脅威度合いをスコアリングし、リスクに基づいて検知結果を優先付け。管理者は、発生アラートの確度・重要度が判断できる |
原因分析 | 組織のシステムに分散しているデータを収集して分析し、根本的な原因を洗い出す。どの場所から、どうやって攻撃が行われたのかを特定し、迅速で的確な初動につなげる |
隔離や修復 | ポリシーに基づいて、侵害されたデバイスをネットワークから隔離したり、修復のためのアクションを自動で実行したりする。また、必要に応じて手動での介入も可能 |
たとえば、「Sophos Intercept X Advanced with XDR」のように、過去数十日分のデータとデータレイクの3種類を用いて、ステルス性の高い攻撃を検知するXDR製品もあり、様々な手法で脅威に対抗します。
XDR製品を導入するにあたり、比較・検討すべき点は主に3つ。自社のセキュリティ要件に合った製品を選ぶ際の参考にしてください。
XDR製品を導入する理由の一つとして、「インシデントの検出〜対応までの高速化」が挙げられます。自動化機能を搭載した製品のほとんどで、インシデントの検出から初期対応までの高速化が期待できますが、その性能や仕様には製品ごとに違いがあります。
たとえば「Sophos Intercept X Advanced with XDR」は、検出した脅威をAIが優先順位付けして、リスクスコアを提供。スコアは0〜10で評価され、緊急度の高い項目が特定できるため、追加調査やデバイス隔離などがスムーズに。また、必要な情報があれば管理コンソールから問題のデバイスにリモートアクセスし、詳しい調査や問題の修復が可能です。
また、「Falcon Complete XDR」は、生成AIによる効率化が強みです。検出したインシデントの優先度をAIが見極め、セキュリティ担当者がすぐに対応できるようにインシデントサマリーを生成。調査のスピード向上に貢献します。
監視システムの運用のしやすさも重要です。XDR製品は全方位的に常時監視・分析してアラートを通知しますが、インシデントの内容によっては、担当者に高度な専門スキルが求められるケースも。
自社内だけでセキュリティ製品を運用することが難しい場合は、監視や分析、対応を代行するMDR(Managed Detection and Response)サービスが有用です。高度な判断を要するインシデントにも迅速に対処するためには、外部の専門チームへのアウトソーシングも選択肢となります。
たとえばイーセットジャパン株式会社は、単独でXDR機能を利用できる「ESET PROTECT ENTERPRISE」と、XDRにMDRサービスとプレミアムサポートをプラスした「ESET PROTECT MDR」の2パターンを提供。自社の運用体制に合わせて、よりふさわしいソリューション形態が選べます。
日々悪質化する攻撃に対抗するには、各クラウドやネットワークのログ分析も重要です。ワークスペースやコンテナといった外部サービスとの連携性にも着目してください。
たとえば「Trend Micro XDR」は、SIEM製品やSOAR、IDアクセス管理といった製品とのAPI連携が可能。主なクラウドワークロードとの連携にも対応しているので、広範なコンポーネントを一元監視できます。
一方、「ESET PROTECT MDR」のXDRコンポーネントも、検出結果と修正内容をエクスポートするAPIを実装。ファイアウォールやIDS/IPSを集約するSIEM製品などの統合型運用ツールとリンクできるため、既存のツールからの処置が実行可能に。
また、「Falcon Complete XDR」を提供するクラウドストライク合同会社は、Google CloudやOkta、ServiceNow、Zscalerといった企業とのアライアンス「CrowdXDR Alliance」に参画。セキュリティプラットフォーム間でのデータ交換における共有構造を確立することで、セキュリティ対策の効率化と最適化を実現しようとしています。
MDR機能も搭載したおすすめのXDR製品をご紹介します。
※料金はすべて要問い合わせ
(出所:LANSCOPE サイバープロテクション CylanceMDR公式Webサイト)
マルウェアの事前防御から侵入経路の調査、インシデント対応までをオールインワンで行うMDRサービス。サイバーセキュリティの専門家が日々発生する脅威に対応し、緊急時にも平均9分というスピードで応答が得られる。専用のポータルサイトを通じて日本語で対応してくれるのも心強い。
高性能AIにより既知及び未知のマルウェアを学習・分析して99%以上を検知可能。200を超える検知ルールが設定できるのに加えて、自社に最適な設定をエキスパートが提案してくれるのもうれしいポイントだ。
(出所:ESET PROTECT MDR公式Webサイト)
マルウェア検出技術のパイオニア的ブランドが提供するソリューション。「ESET PROTECT ENTERPRISE」のXDR機能を利用できるのに加えて、MDRと専門スタッフのプレミアムサポートが受けられる。XDR機能では、悪意のある振る舞いを識別し、自社にとって脅威となる攻撃を検出・特定。組み込みルール、あるいは独自のルールをもとに調査と修復を実施する。インシデントのリスク評価もできるので、重大なアラーム時は管理者やESETエキスパートの迅速な対応が可能に。
また、XDRコンポーネントには、SIEM製品などの統合型運用ツールと連携可能なAPIを実装。検知データの詳細情報収集や修正内容などをエクスポートできるので、既存のツールから処置を実行すれば、運用面の負担軽減に役立つ。
(出所:Falcon Complete XDR公式Webサイト)
AIによって、ステルス性の高い攻撃へのリアルタイムレスポンスを可能にするXDR製品。セキュリティの専門家が24時間365日体制で脅威ハンティングとモニタリングを実施しており、サービス全体で年間700万件以上のインシデントを解決に導いている。
高度なAI技術を使って、複数のレイヤーから収集したデータを単一のインシデントにまとめ、攻撃者の手法の99%を正確に報告。更に、セキュリティ担当者のスキルレベルを問わないサマリーを生成し、調査のスピードと効率性の向上に貢献。セキュリティと運用の両面からXDRの価値を最大化させている。
おすすめのXDR製品をご紹介します。
※料金はすべて要問い合わせ
(出所:Trend Micro XDR公式Webサイト)
同社のEDRを進化させ、多種のサイバー脅威への対応が可能になったXDR製品。複数のレイヤーから収集したデータを、独自の検知ルールやフィルタで分析。重大な脅威だけでなく、脅威とは断定できない不審な挙動も抽出する。これにより、従来製品よりもサイバー攻撃の検出率が約2.2倍、インシデントの自動対応速度が70%向上したという事例も。
国内外で発生したサイバー攻撃に加えて、サイバー攻撃に悪用される正規ツールなどの情報をもとに、あらゆる脅威を突き止める技術を保有している。また、主なクラウドワークロードに加えて、SIEM製品やSOAR、IDアクセス管理、ファイアウォールなどの製品とのAPI連携に対応。
(出所:Sophos Intercept X Advanced with XDR公式Webサイト)
脅威の大半を自動で阻止し、担当者の負担を大幅に軽減するXDR製品。スマホやPCといったエンドポイント保護機能と、サーバー保護機能の組み合わせにより、高度な脅威検出・排除を実現している。それぞれを多層防御的に監視するだけでなく、高度な機械学習によって分析。マルウェア定義ファイルのパターンに依存しないため、未知の脅威まで検出できる。
また、検出した脅威をAIが優先順位付けしてリスクスコアを提供。スコアは0〜10で評価され、緊急度の高い項目が特定できる。追加調査やデバイス隔離などにも早急な対応が可能。更に、ライブデータ、最大 90日間のオンディスクデータと、データレイクにある30日間からのデータを調査できるため、誤検知が少ないのも特徴だ。
(出所:Cisco XDR公式Webサイト)
可視性と実用性に優れており、担当者を“アラート疲れ”から解放するXDR。自動対応措置を設定済みの状態で提供しているため、導入後すぐに、検出から脅威対応までに対応。セキュリティ運用の簡素化や、運用チームの業務負担の軽減といったメリットを即座に実感できる。
リスクベースによる優先順位付けや修復方法のレコメンドに加えて、既存のインフラストラクチャが利用できるのもポイント。AWS、Google Cloud、TALOSなど、主要なサードパーティーベンダーのソリューションとの連携で、一貫性のあるセキュリティ対策を実現する。
(出所:Singularity XDR公式Webサイト)
可視性の高い単一プラットフォームで、インシデント対応の遅延を最小限に抑制するXDRツール。マルウェア検知に自律型AIを採用し、高性能エージェントで未知との脅威に対応する。また、過検知や誤検知も防げるため、運用負荷だけでなく総保有コスト(TCO)の軽減も見込める。
Storylineという技術のインサイトを活用すれば、環境に適したカスタム自動検知ルールの作成も可能。自社に合わせたソリューションの構築を実現できる。また、ワンクリックで脅威への修復アクションを適用できるのも便利。ネットワークの隔離、不正なワークステーションへのエージェントのデプロイなどを、スピーディーに実行する。
(出所:Infinity XDR/XPR公式Webサイト)
世界各国の官公庁や企業への導入実績を持つ、サイバーセキュリティプロバイダーのXDR製品。防御機能のベースとなる「ThreatCloud AI」は、毎日15万を超えるゲートウェイと数百万のエンドポイントからの侵害痕跡 (IoC) の集約と共同分析を行い、常に進化を続けている。
防止ファーストを重視する同社は、脅威検知と対応のマネージドサービスであるHorizon MDR/MPRも別途で提供。企業のサイバーセキュリティ領域での経験不足や継続的なスキル不足を、業界屈指のリサーチエキスパートがサポートする。どのような事業規模においても、脅威に対して十分な体制構築を実現できるのが強み。
(出所:Kaspersky XDR公式Webサイト)
既存のセキュリティ管理ともシームレスに統合できるXDR製品。サードパーティーの幅広いセキュリティソリューションと連携し、自社の業務ツールを一貫して保護する。世界各国の脅威トレンドからリアルタイム分析を行い、AIを活用して攻撃を検知したのちに、高度な自動化機能で対応。セキュリティ運用を合理化して、平均検出時間と平均復旧時間を短縮している。
インシデントのケース管理も万全で、アラートや優先付けされたインシデント、攻撃手法を分類したMITRE ATT&CKマトリックスを使用して、タグ付けが可能。脅威の一元的管理を可能とするXDRの特性を最大化し、企業や組織のセキュリティ体制を強化する。24時間年中無休で対応するプレミアムサポートも別途提供しているので、専門家によるアシストが必要な場合も安心だ。
(出所:Cybereason XDR公式Webサイト)
Google Cloud Platformをベースにしたサイバー攻撃対策プラットフォーム。エンドポイント、ネットワーク、アイデンティティ、クラウド、ワークスペースといったIT環境全体のログを解析。サイバー攻撃の全体像を可視化し、攻撃を阻止する。
単一のプラットフォーム上から組織全体の情報資産を多面的に監視。直感的な操作が可能な管理画面から攻撃アクティビティを確認・調査でき、対処時間の短縮に貢献する。また、各国の国防・軍事機関で勤務していたメンバーが同社の脅威インテリジェンスチームに在籍しており、培ってきたノウハウをXDRのロジックに組み込んでいるのも特徴。外部ソリューションとも柔軟に連携する。
XDRは、巧妙化及び複雑化し続けるサイバー攻撃に対抗するシステムとして、現在、多くの企業や組織で注目されているソリューションです。
すでに普及しているEDRよりも監視対象が広く、クロスレイヤー型の対策ができるのがメリットで、エンドポイントだけでなく、電子メールやサーバー、クラウドといった複数のレイヤーを一元的に監視・対応・管理できます。
XDRをこれから導入する場合は、次の3つのポイントを比較検討し、自社に合った製品を見極めることが大切です。
(1)インシデントの検出から対応までのスピード
(2)MDRサービスの要否
(3)各セキュリティサービスとのデータ連携
導入後は、未知のマルウェアを含む脅威を広範的に監視可能に。インシデントの検出から対応も、迅速かつ効率的に実施できるため、セキュリティ対策の根本的な改善につながります。
また、高性能AIが過検知や誤検知を防ぐので、運用側の負担軽減も見込めます。
XDRは、ビジネスが拡大している企業や組織には有用なシステムです。自社の資産を守るために、ニーズに合った製品を検討してみてください。
XDR製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
LANSCOPE サイバープロテクション CylanceMDR
エムオーテックス株式会社
世界トップレベルのセキュリティ専門家によるMDRサービス。アンチウイルスからEDR、導入支援、MDRまで対応可能。効率的な運用とセキュリティ強化を実現します。...
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。