トレンド基礎知識 Detection ＆ Responseの究極形態？
XDRとは

日々巧妙化するサイバー攻撃にどう対応していくのか。これに対する以前の答えは「水際で防御する」でした。外部ネットワークとの境界点にファイアウォールやIDS（Intrusion Detection System）/IPS（Intrusion Prevention System）を設置する、PC端末やモバイル端末にアンチウイルスを導入する、といったことは、その典型的な手法だといえます。しかし2010年代に入ってからは、この考え方には限界があることがはっきりします。水際の防御をすり抜けて内部に侵入、最初はひっそりと活動を開始し、最終的に莫大な被害をもたらすサイバー攻撃が増えてきたからです。

このようなサイバー攻撃に対処するために生まれたのが、"Detection ＆ Response（検知して対応する）"という考え方です。その代表格といえるのが、「EDR（Endpoint Detection ＆ Response）」だといえるでしょう。これはPC端末やモバイル端末に導入することで、それらの中で発生する不審な動きを検知し、その動きを封じ込めると共に、セキュリティインシデントの調査やエンドポイントの復旧などを支援する、というソリューションです。これを活用することで、マルウェアが感染した後のラテラルムーブメント（横方向への侵入拡大）や、各種情報への不正アクセス、ログ改ざんなどを防ぐことが可能になります。なお最近ではシグネチャだけに頼らずプログラムの挙動を見てマルウェアの検知・排除を行う、次世代アンチウイルス機能を装備したEDRも登場し、エンドポイントの安全性確保に大きな貢献を果たしています。

しかし"Detection ＆ Response"が必要なのは、エンドポイントだけではありません。エンドポイントが通信を行うために使用するネットワークにも、このような考え方が求められます。これを具現化したのが「NDR（Network Detection ＆ Response）」です。NDRはネットワーク上の様々な情報を収集し、これを分析することで危険なトラフィックを検知する、というソリューションです。これによって、エンドポイントで密かに活動するマルウェアとC＆C（Command ＆ Control）サーバーとの通信を検知する、他のエンドポイントへのラテラルムーブメントで発生する通信をあぶり出す、といったことが可能になります。

具体的な手法としては、ネットワークスイッチのミラーポートから通信パケットを取得する、というものが一般的です。またデバイス単位、アプリケーション単位で仮想的なネットワークセグメントを設けることができる「マイクロセグメンテーション」というソリューションを活用し、その上にNDRを実装するというアプローチも登場しています。

EDRとNDRは「侵入されることを前提にしたセキュリティ」における、車の両輪のような存在だといえるでしょう。これらの両輪から得られたデータからより的確にインシデントを発見するには、さらに「SIEM（Security Information and Event Management）」というソリューションも必要です。SIEMとはログなどのデータを一元的に集約し、それらのデータを組み合わせた相関分析を行うことで、サイバー攻撃やマルウェア感染などのインシデントを検知する、というものです。ガートナー社が2015年8月にポストした「Your SOC Nuclear Triad」でも、SOCにはSIEMとEDR、NFT（Network Forensics：NDRと同様の目的を持つソリューション）を組み合わせた”Nuclear Triad（戦略核の3本柱）“が重要だと指摘しています。

しかしEDRとNDR、SIEMの組み合わせでは、カバーできない領域があります。それはクラウドで発生するインシデントです。また複数のソリューションを組み合わせて運用するのは、ユーザー企業にとって大きな負担になるという問題もあります。

このような状況の中、新たに登場したのが「XDR（eXtended Detection ＆ Response）」というソリューションです。これはDetection ＆ Responseをより広範囲の対象に対して行い、それらから得られたデータの収集・分析もカバーするというもの。パロアルトネットワークスのCTO兼共同創業者であるNir Zuk氏が、2018年に提唱したといわれています。 XDRが登場することになったのは、EDR、NDRといった流れを考えれば、必然的なものだといえるでしょう。最初に特定領域を対象にしたポイントソリューションが登場し、その後に異なる領域を対象にした類似のポイントソリューションが増えていき、最終的にそれらを統合するソリューションが生まれるというのは、多くの領域で見られる現象だからです。

XDRのメリットは、大きく2つあります。第1は、インシデント検知の対象領域が広いことです。エンドポイントやネットワークに加え、クラウド上のサービスもカバーしているのです。対象領域が拡大すれば、特定領域のデータだけではわからなかった知見が得られるようになります。これによって分析精度や検知率が向上するとともに、誤検知を低減させることも可能になります。

第2はデータ収集から分析までを、一貫して行えることです。XDRを導入すれば、別途SIEMを導入する必要はありません。XDRの中だけで完結できるのです。また複数領域のデータをまとめて自動的に分析することで、セキュリティ担当者の負担も軽減できます。

ただし、現在のXDRはまだ十分に成熟しているとはいえない状況であり、導入時のコストがかかる、専門人材を確保する必要があるなど、いくつかのハードルが存在します。しかしいずれはXDRも、多くの企業や組織が当たり前のように導入できるソリューションになっていくはずです。まだ導入には踏み切らないとしても、このような考え方やソリューションが存在するということは、今から意識しておくべきだといえるでしょう。

サイバー攻撃は日々巧妙化を続けその対策は待ったなしの状況です。XDRのように広い範囲を対象とするのか、それともエンドポイントを対象（EDR）とするのか、ネットワークを対象（NDR）とするか、どれを選択するかは、それぞれの企業で何を重視した対策が必要かにより異なります。共通なのは、どのソリューションも導入したら安心というわけではなく、それをどう運用するかが重要です。当社ではXDRやEDR製品と運用サービスを各種取り揃えており、お客様のご要望に合わせたご提案も可能です。気軽にご相談下さい。