クラウド上での業務遂行が浸透する一方で、サイバー攻撃も年々巧妙化しています。従来の対策では太刀打ちできないケースも多く、多角的なセキュリティ対策の構築が必要です。XDRは、サイバー脅威を可視化して検知・対処するソリューションです。本記事では、XDRの概要や注目される理由、メリットなどを解説します。
XDR (Extended Detection and Response)とは?
XDRとはExtended Detection and Responseの略称で、サイバー攻撃への対処方法の一つです。セキュリティプラットフォームを手がけるNir Zuk氏により2018年に提唱されました。
ネットワーク回線に接続されたデバイスであるエンドポイントだけでなく、サーバやクラウド、メール、ネットワークなど複数のレイヤを包括的に監視するため、セキュリティ保護の対象が広い点が特徴です。
XDRの主な機能として、サイバー攻撃の可視化やインシデント対応の自動化などが挙げられます。
EDRとの違い
EDR(Endpoint Detection and Response)は、エンドポイントに監視対象を絞ったセキュリティ対策ソリューションです。ネットワークに接続したパソコン、スマートフォン、タブレットといった端末の異常を検知し、対処します。
XDRも、EDRと同じく端末やネットワークを対象とした監視機能を搭載していますが、保護対象がより広いのが特徴です。前段の通り、XDRはクラウドやサーバなども保護の対象としています。
従来は、端末やネットワークを狙った攻撃が主流でした。しかし、サイバー攻撃の巧妙化が進む中で、これまでにはないネットワークの隙間に潜む脅威も増えています。その結果、局所的な監視だけでは対処できないケースが多くなりました。そこで開発されたのがXDRであり、EDRの機能拡張版といわれることもあります。
SIEMとの違い
SIEM(Security Information and Event Management)も、XDRと同様にログやデータを監視・分析して異常を検知するシステムです。双方の大きな違いとして、検知設定の方法が挙げられます。
SIEMは、ファイアウォールやプロキシなどの出力ログから異常を検知するにあたって、手動でルール設定やチューニングを行う点が特徴です。例えば、チューニングを行わずにインシデントの分析を進めると、アラートが大量に発生して誤検知が起こる可能性があります。
一方、XDRは事前にセットされたルールに沿った包括的な分析が可能です。
XDRが求められている背景:サイバー攻撃の複雑化
これまでも各種セキュリティ対策を活用してサイバーセキュリティ強化を図る企業が多く見られました。しかし、テクノロジーと共にサイバー攻撃も進化しています。その対策として開発されたのがXDRです。ここでは、XDRが求められている背景として、複雑化したサイバー攻撃について詳しく解説します。
標的型ランサムウェア攻撃の激化
独立行政法人情報処理推進機構(IPA)により発表された「情報セキュリティ10大脅威 2024」において、組織向けの脅威としてランサムウェアによる被害が1位となりました。ランサムウェアとは、パソコンやサーバ内のデータを暗号化して使用できなくした上に、データの復旧を条件に金銭を要求するサイバー攻撃です。9年連続で10大脅威の一つに入っており、年々巧妙化していることが伺えます。
その中でも、近年悪用されることが増え、さらなる被害が懸念されているのが、特定の企業を狙った標的型ランサムウェアです。
標的型ランサムウェアは、セキュリティ対策システムの監視下にないメールやVPN機器などのセキュリティホールや、サーバの設定ミスなどを狙います。そのため、従来のエンドポイントを対象にしたセキュリティ対策では不十分であり、XDRによる俯瞰的な分析が必要です。
攻撃メールの増加
マルウェアの一種であるEmotetに代表される、悪意のあるプログラムが組み込まれた攻撃メールが増加している点も、XDRが求められる理由の一つです。
主にEメールが標的となっており、盗んだ情報をもとに実在の企業になりすましてメールを拡散します。実際に送受信したメールの文章を用いるような巧妙な手口を使うため、知らず知らずのうちに被害が拡大することも少なくありません。
攻撃メールも標的型ランサムウェアと同様に、端末やネットワークのみの監視では対処できず、XDRの導入が必要です。XDRの導入によりメールやサーバなども含めた各レイヤを分析し、攻撃の全体像を俯瞰してみることで脅威の根本原因を検知し、正しく対処できます。
XDRを導入するメリット
XDRを導入する主なメリットは、以下の3点です。それぞれのメリットについて解説します。
セキュリティ対策の統一
前段の通り、企業においてセキュリティ対策を施すべき範囲は拡大しています。各レイヤに複数のセキュリティシステムを併用して対策する方法もありますが、それぞれのシステムでアラートが発生するため、検知時の対応が複雑化してしまい対処が遅れる点がデメリットです。
XDRの導入によりセキュリティ対策が統一されれば、セキュリティ監視に関する工程数を削減可能です。また、インシデントを俯瞰的に監視することで、重要度の高いサイバー脅威に絞って迅速に対処できます。
サイロ化の防止
複数のセキュリティ製品を利用している場合、製品ごとにサイバー脅威を検知しなければなりません。原因特定や分析を手作業で行う機会が増え、製品やツールごとにデータが分断されるサイロ化が発生する危険性があります。
XDRを導入すればセキュリティが統一され、情報の収集や脅威の検知、分析を自動化できるためサイロ化を防げます。また、手作業によるミスや見落としの低減により、従業員の負担軽減や作業の均質化も期待できます。
運用の効率化
XDRによるデータ解析やサイバー脅威の検知には、AIの機械学習が応用されています。例えば、通常時の動きを学習することで、細かな異常の検知が可能です。また、巧妙化する高度なサイバー攻撃に対しても、常に学習し蓄積された膨大な情報をリアルタイムに分析できるため、迅速に検知や特定を実施できます。
さらに、脅威が起こす次の行動を予測し、攻撃される可能性がある場所をブロックしやすくなる点も、機械学習の応用によるXDRの特徴です。
このように、XDRはエンドポイントを超えて広範囲の監視を継続し、脅威に素早い対応ができることから、セキュリティ運用の効率化に貢献します。
まとめ
サイバー攻撃の巧妙化はとどまるところを知らず、その都度適した対策が求められます。しかし、従来の端末やネットワークに特化したセキュリティ対策では、あらゆるセキュリティホールを狙う新たな攻撃には太刀打ちできません。これに対して、複数のソリューションを活用するケースも散見されますが、対応工程の複雑化により対処が遅れるリスクがあります。
XDRは、エンドポイントやネットワークに加えて、メールやクラウド、サーバなど複数の領域におけるセキュリティ対策の統一が可能です。AIの機械学習の応用によりインシデント対応も自動化されるため、セキュリティを担当する従業員の負担軽減にもつながります。
今後もテクノロジーの進化に伴い、サイバー攻撃が複雑化すると予想されます。DX推進によりデジタル化が進む中でいち早く脅威に対応するためには、XDRを導入して万全な対策を講じることが大切です。
