はじめに
年々巧妙化、複雑化するサイバー攻撃に対し、従来のウイルス対策ソフトによる「攻撃を未然に防ぐ」のみの対策では対抗しきれなくなっています。そのため、「侵入されることを前提」にした対策の必要性が叫ばれるようになりました。
本記事では侵入されることを前提とした、最新のセキュリティ対策と言われるXDRについて解説していきます。
侵入を前提として生まれた対策 EDR、NDR
XDRを理解するための前提条件として、まずはEDRとNDRについても少し触れていきましょう。
XDR登場以前の、侵入されることを前提とした対策の代表格といわれたEDR、NDR。それぞれどのような特徴を持つのか解説します。
EDRとは
EDRはEndpoint Detect and Responseの略称で、エンドポイントを監視対象とし、検知と対応を行います。エンドポイントとはPCやモバイル、サーバやルータなど、ネットワークに接続される端末や機器の総称です。
EDRはエンドポイントの各デバイスの動きを常時監視し、ログを収集・分析します。ここで不審な動きを検知すれば直ちに管理者に通知される仕組みです。これによりマルウェアによる攻撃を受けた場合でも、どのデバイスが感染したのかが把握でき、迅速な対応と処理を施せ、被害を最小限に抑えることができるようになります。
NDRとは
NDRはNetwork Detection and Responseの略称です。EDRがエンドポイントを監視するのに対し、NDRはネットワークを監視対象とし、検知と対応を行います。
ネットワーク上のトラフィック(通信量)を常時監視、分析を行い、不審な通信を検知する仕組みです。平時とは違う通信量やアクセスがあった場合にはサイバー攻撃によるものかの判断が容易になります。またネットワーク全体の状況の可視化ができ、通信のやり取りや行方も把握できることから、内部不正防止にも一役買っています。
最新のセキュリティ対策、XDRとは
XDRはExtended Detection and Responseを略した言葉で、広範囲にわたり検知と対応を行うソリューションです。XDRの「X」にはExtended (拡張した)のほかに、Cross(交差した)という意味を併せ持ちます。EDRやNDRのようにエンドポイントのみ、ネットワークのみといった軸にとらわれず、エンドポイント、ネットワーク、サーバやクラウド、あらゆる情報システムを監視対象とし、包括的に管理することでデータの収集・分析・検知・対応までを一貫して行います。複数のセキュリティ製品を集約し、データをまとめて相関分析することで脅威の全体像が把握でき、迅速な対応を可能にしています。
対してEDRやNDRはそれぞれ特定の課題(EDRならエンドポイント、NDRならネットワーク)に対応するために作られた、ポイントツールと呼ばれるソリューションです。これらは組み合わせることでサイバー攻撃に対してより有効的なツールとなりますが、それぞれで発されたアラートの中から脅威を優先付けし適切な処置を施すには時間も労力もかかります。
このようにサイロ化されたセキュリティ対策に変わるものとして登場したのがXDRなのです。
XDRを導入するメリット
セキュリティ対策はなかなか費用対効果を感じにくく、今ある対策だけで十分と考える企業も少なくありません。しかしXDRには、そんな考えを一蹴するだけのメリットがあります。
対応領域が広い
XDRはエンドポイント、ネットワーク、サーバ、メール、クラウドなど複数のレイヤーをまとめて集中管理することができるため、様々な領域を幅広く対応することが可能です。レイヤーが多いほどアラートの量に振り回されていた従来の対策方法(既存のセキュリティ製品の組み合わせ)とは異なり、XDRではレイヤーが多いほど集められるデータも増え、分析精度や検知率が向上するといった効果を発揮します。
データ収集から分析までを自動化し負担軽減
従来の対策方法では検知までは自動でできても、レイヤーごとに出されるアラートへの対応は人の手で行う必要があり、分析や相関付けに労力を要しました。対してXDRは機械学習やAIを用いて、データの収集・検知・分析などを全て自動で行います。様々なレイヤーを一つにまとめて検知・分析できることで、脅威の発見から復旧までの時間を大幅に削減し、セキュリティ担当者の負担軽減にもつながります。
手作業の減少によるコストの削減
データの収集・検知・分析を一括して自動で行えることから人の手による作業が減少し、ミスや見逃しも無くすことができます。また、アラート対応に時間を割かれていた社員の負担軽減とともに、人的コストの削減も望めます。
XDR導入時の課題
XDR導入にはいくつか課題も挙げられます。その中でも代表的なものが次の2点です。
導入時のコストがかかる
新しいソリューションを取り入れる際には、当然のことながら導入コストがかかります。またXDRはレイヤーが多いほど分析精度や検知率が向上するため、XDRを導入する代わりに既存のセキュリティ製品をただ廃止するというわけにもいかず、既存のセキュリティ製品を考慮したうえで、自社の環境に適したサービスの選定が必要です。
専門人材の確保
XDRは収集・検知・分析などほとんどの作業を自動化できますが、検知された問題が本当に取り除かれたかどうか、問題がある場合はどのように対処するのかなど、最終的な判断を行うのは人です。そのため、XDRを導入し適切に運用するには、セキュリティに知見を持つ人材の確保が必須です。自社でこれらを任せることのできる人材がいない、確保が難しいといった場合はアウトソーシングを視野に入れることも必要です。
まとめ
巧妙化、複雑化するサイバー攻撃に対抗するためには、「サイバー攻撃を迎え撃つ」というくらいの対策が望ましくなっています。
EDRやNDR、その他セキュリティ製品を統合させることで脅威の全体像が把握でき、また多くのメリットが見込めるXDR。導入を検討されている場合はぜひセラクへご相談ください。
セラクでは高度な専門知識を持つセキュリティ技術者が、24時間365日の高品質なサポートを提供しています。お客様の環境に適した導入支援を行い、これまでのセキュリティ対策より多くの価値を見出せることをお約束します。