近年のサイバー攻撃は巧妙化しており、従来多く導入されていた、サイバー攻撃の入り口で脅威の侵入を防止する対策では対応しきれなくなっています。そのため、エンドポイントやネットワーク、クラウド、オンプレミスのデータセンターなど、ワークロード全体を通じて脅威の侵入後にいち早く検知・対応できるセキュリティ対策を講じる必要があります。XDRを導入することにより、サイバー脅威を早期に検出でき、対処することが可能となります。また、セキュリティ運用を一元的に行うことで効率化し、セキュリティ担当者の負担軽減の効果も期待できるでしょう。

本記事では、XDRとは何か、また必要とされる背景、導入することにより得られるメリットについて詳しく解説します。

XDR（Extended Detection and Response）とは、マルウェア感染や不正アクセスなどのサイバー脅威を検出し、対処する機能を持ったソリューションです。

XDRの特長は、エンドポイントに限らず、ネットワークやクラウドなど複数の場所に分散するログを一元的に監視できる点です。XDRを使用することにより、複数の領域に渡ってインシデントやエラーの検知、調査、対応などを自動化できるようになります。これにより、セキュリティ管理のコストを削減できるだけではなく、企業全体のセキュリティレベルを高めることが期待できます。

XDRは製品によって搭載している機能に多少の違いがありますが、分散するログを横断的に自動収集・検出し分析する機能や、脅威を検知したらリアルタイムにセキュリティ担当者に通知する機能などを備えている製品が存在します。

最近では日々進化しているサイバー攻撃に対抗するため、従来のセキュリティ対策よりも高度なセキュリティ機能が求められるようになりました。こうしたニーズの高まりに伴いEDRやNDR、XDRといったセキュリティ関連のキーワードも増えているため、以下では昨今注目されるセキュリティ関連のキーワードの意味と、それらの違いについて整理していきます。

XDRは、EDR（Endpoint Detection and Response）やNDR（Network Detection and Response）と同様にエンドポイントやネットワークを監視する機能を搭載していますが、XDRはより広範囲な監視が可能で、エンドポイントやネットワークにくわえて、メールやIAMなどのユーザー情報、クラウドなどのワークロード全般を対象としています。

EDRは、ネットワークに接続されたPCなどのエンドポイントを監視して、不正アクセスやサイバー攻撃を検知、対応するソリューションです。一方、NDRは社内ネットワークのトラフィックを監視し、不審な通信を検知するソリューションとなります。

EDRやNDRは対象がエンドポイント、もしくはネットワークに特化しているため、影響範囲がどこまで及ぶのか全体を把握しづらく、エラーの重大性も相関的に判断しにくいといった点が課題とされています。

その点XDRは、エンドポイントやネットワークのログだけでなく、クラウドなども含めたさまざまなログを総合的に分析し、インシデント対応を一元化することができるため、既存のセキュリティ製品を活用しながら統合的に対策できるソリューションとして注目されています。

XDRとSIEMは、両方ともログを収集し、相関分析を行うという点で一致しています。XDRはログを統合的に監視し、プリセットされたルールにもとづきインシデントを総合的に分析・対応することができます。一方、SIEMはファイアウォールなどから出力されるログを集約して分析する点はXDRと同じですが、検知ルールの設定やチューニングを自社で行う仕組みとなっています。そのため、XDRはセキュリティ運用をある程度自動化したい企業に向いているソリューションと言えます。

前述した通り、EDRはエンドポイント、NDRはネットワークと、特定の課題に対応するために作られており、それらを組み合わせることでサイバー攻撃に対してより強固なセキュリティ対策を構築できます。しかし、各セキュリティ製品で発せられたアラートから重要度の高い脅威を優先付けし、適切な処置を実施するためには多大な時間と労力がかります。

そこで上記のような課題を解決するセキュリティ対策として登場したのがXDRであり、一括した検知・アプローチによりセキュリティ対策にかかる時間や労力を大幅に削減することが可能になります。

サイバー攻撃は企業のセキュリティの脆弱性を突いたり、社員の不注意を誘ったりと、さまざまな手法が報告されています。近年、世界中で猛威をふるうランサムウェアやEmotetなどのサイバー攻撃ではどのような脆弱性が狙われやすいのか、過去に起きた事例についても理解しておく必要があります。

この章では、国内・海外のサイバー攻撃の脅威や発見された脆弱性を例に紹介します。

2022年1月、組込みデバイス向けのセキュリティプロバイダーのRed Balloon Security社は、実際のネットワークで使用されている組込みシステムによって、ランサムウェアを展開できるとの調査結果を発表しました。この調査結果では、Schneider Electric社製の保護リレー_※の脆弱性を悪用すれば、ランサムウェアのペイロードを展開できると述べられています。
ランサムウェアとは、感染させたコンピュータをロックしたり、データを暗号化したりすることでコンピュータを使用不能な状態にし、復元するために「身代金」を要求するマルウェアの一種です。組込みデバイスに対してランサムウェアを展開する攻撃方法は、機器の設置状況などに関する特定の知識が必要とされています。

参考：経済産業省 商務情報政策局サイバーセキュリティ課「主なインシデント事例」p2より（令和4年4月4日）

2019年10月ごろ、国内の複数の企業でEmotetによる被害が多発しました。Emotetとは、メールを介して感染を拡大し、情報の窃取を行ったりほかのマルウェアに感染させたりするために利用されるマルウェアの一種です。Emotetによる攻撃では、窃取した情報をもとに、差出人名や本文を偽装したうえでEmotetへの感染を引き起こすOfficeファイルやパスワード付きZIPファイルが送付される事例が報告されています。ほかにも、Emotetに感染した端末が別のマルウェアをダウンロードし、結果としてほかのランサムウェアに感染したといった事例も報告されています。

参考：経済産業省 商務情報政策局サイバーセキュリティ課「主なインシデント事例」p6より（令和4年4月4日）

2019年から2021年にかけて、米国では上下水道施設をターゲットにしたサイバー攻撃が多く報告されました。特に、ネバダ州やカリフォルニア州では、上下水道システム（WWS＝Water and Wastewater Systems）へのランサムウェア攻撃が多発しました。

この攻撃により、適切に保守されていないOSやソフトウェアの悪用、ITシステム経由の不正アクセスなどに対し、米国サイバーセキュリティ・インフラセキュリティ庁（CISA＝Cybersecurity and Infrastructure Security Agency）や連邦捜査局（FBI＝Federal Bureau of Investigation）、環境保護庁（EPA＝United States Environmental Protection Agency）などが、共同勧告にて注意喚起を行いました。システム監視による不審な活動の検知やリモートアクセスの保護、独立した安全制御システムの設置などの対策が推奨されています。

参考：経済産業省 商務情報政策局サイバーセキュリティ課「主なインシデント事例」p5より（令和4年4月4日）

上記の例のように、近年私たちの生活にも大きな影響を与えるリスクのあるサイバー攻撃は、世界各地で多発しています。多様化・巧妙化しているサイバー攻撃に対応するためにも、昨今の社会状況や働き方の変化に応じたセキュリティ対策が求められているのです。

昨今のセキュリティ対策の変化に対応するために登場したセキュリティ製品であるXDRについて、この章では必要となる背景を詳しく解説していきます。

サイバー攻撃の脅威が増大し、エンドポイントやネットワーク、クラウドなどに特化したセキュリティ対策が登場したことで、従来のセキュリティ製品では検知できない脅威まで検知できるようになりました。しかしこれにより、個別のアラートが多く発生し、確認すべきログの数も増大したことで、セキュリティ担当者の負担は増しています。
複数のアラートが発生することで重要なアラートが埋もれてしまい、検知・対応までの初動時間が遅くなる点も課題に挙げられます。
検知したアラートを分析するためには膨大なアラートを分析し、優先順位をつけて対応する必要があり、これには多くの労力と時間が求められます。
セキュリティ製品の多くは、インシデントが発生した際のアラートが表示されますが、アラートの表示だけではどう対処すべきかという判断までは困難でしょう。セキュリティ担当者は、表示されたアラートからインシデントに関連するエンドポイントやネットワーク、ユーザーを迅速に特定し、原因調査・分析、相関付けなどの作業を行わなければいけません。

この課題を解決するのがXDRです。XDRを導入することにより、エンドポイントやネットワーク、クラウドなどのログを収集し、さまざまなアラートの根本原因となる脅威を自動的に検出することが可能です。脅威を明らかにすることで、対処すべき脅威の優先順位の判断にかかる時間を短縮することができ、よりリスクの高い脅威への対応に専念することができます。結果的に、セキュリティ担当者の負担を軽減しつつ、セキュリティ対策をより効率的に実施できるようになるでしょう。

企業がセキュリティ対策を実施する際には、管理・保護しなければならない情報システムの種類の増加に伴い、ネットワークやサーバー、クラウド、PCなど、それぞれに適したセキュリティ製品を利用します。その結果、セキュリティ製品の数や種類が増加し、管理が複雑化しています。

同時にインシデントが発生した場合、セキュリティ担当者の負担だけでなく、脅威の検知と対応に必要な手順も煩雑になるため、インシデント対応が遅れるリスクも高まります。
XDRを活用すれば、複数の情報システムからログを収集し調査、インシデント対応までを一元管理できるため、必要となる初期対応を迅速に行えるようになります。

また高度化・複雑化する脅威に対する管理も簡素化されるため、日々進化するサイバー攻撃への効果的な対処が可能となり、万が一攻撃を受けた場合でも、被害を最小限に抑えることができます。

ゼロトラストとは、従来の「社内のネットワークは安全で、社外のネットワークは危険だ」という境界型のセキュリティの考え方ではなく、「ネットワークの境界は存在せず、情報資産へのアクセスは信用できないため、すべてにおいて確認し認証・認可を行う」という考え方を用いる概念です。昨今のクラウドサービスの増加や、テレワークなどの働き方が普及したことにより、社内の情報資産だけではなく、クラウド上にある資産も適切に保護しなければいけない状況となっています。

ゼロトラストを実現するには、特に以下の3つのポイントが重要となります。

XDRは、ゼロトラストを実現するために必要な条件を兼ね備えるソリューションとしても注目されています。

参考：IPA「ゼロトラスト移⾏のすゝめ」2022年6月

この章では、XDRを導入して得られるメリットについて解説します。

サイバー攻撃による内部システムへの侵入が一度発生すると、攻撃者の目的である企業の機密情報の窃盗やイメージダウンにつながるリスクが高まるため、企業はあらゆるセキュリティ対策を用いて被害の発生と拡大を食い止める必要があります。

XDRは業務で使用するアプリケーションやネットワーク環境など、自社に合わせた細かな設定を行うことで脅威の見逃しを防ぎ、迅速な対処を実現します。また、最新の脅威情報をもとに、セキュリティ対策に必要な情報をセキュリティ担当者に提供することで、日々進化するサイバー攻撃に対する予防や対応を可能にします。これにより、ビジネスの継続性の確保と機密情報のセキュリティ強化を支援します。

DX推進やテレワークの普及などにより、企業でセキュリティ対策を行わなければならない領域や範囲は以前より広がっています。そのため、企業は複数のセキュリティ製品を併用して対策を講じるケースが多くなり、脅威の検知や対応が複雑化して対処が遅れがちになります。
XDRを活用すれば、エンドポイントやネットワークのログを一括で把握できるため、複数のセキュリティ対策が統一されて迅速な対処が可能になるでしょう。

セキュリティ製品を使用して脅威を検知・対応する場合、原因の特定や相関分析に手作業が必要となることが多くあります。人の手を介して個別に調査するとなると、業務プロセスやアプリケーションごとにデータが孤立してしまい、情報がサイロ化するおそれがあります。
XDRを導入することで、データの収集・検知・分析を一括して自動で行えるため、手作業による原因特定や相関分析を行う必要がなくなり、サイロ化を回避できます。

さらに、人手による作業ミスや見逃しが低減することで、対応に追われていた社員の負担も大きく軽減でき、作業の均質化も図ることができます。複数の領域にあるデータを統合監視できるXDRであれば、問題の原因特定や相関分析などを、効率的かつ迅速に行うことが可能です。

XDRはAIの機械学習を応用しているため、常に膨大なデータを解析・学習しています。大量のログをリアルタイムに分析して脅威を即座に特定できるとともに、さまざまな環境のログでも自動的に監視できるため、システムに危険が及ぶ可能性がある脅威に対して広範囲に対応することが可能になります。

XDRは企業に多くのメリットをもたらしますが、実際にXDRを導入する際には押さえておくべきポイントがいくつかあります。導入を検討する際にこれから紹介するポイントを押さえておけば、XDRを効果的に活用できるでしょう。
この章では、XDRを有効活用するためのポイントを詳しく解説します。

エンドポイントやネットワークなどで複数のセキュリティ製品を使用している場合、ログ管理と運用をXDRに統合することで、セキュリティ対策のトータルコストを大幅に削減できる可能性があります。

自社の環境に適したXDRの選定には、既存のセキュリティ製品を考慮したうえで、XDRの搭載機能や初期費用、ランニングコストなどを確認します。また、事前に自社の課題は何か、XDRを導入することによりどれだけのコストが継続的にかかるのか、セキュリティ運用の負担をどれだけ軽減できそうかを明確にしておくことも大切です。

XDRを導入する場合でも、既存のEDRやファイアウォールなどと併用して運用するのが効果的です。既存のセキュリティ製品を活用しながらXDRも導入し、セキュリティをさらに強化するとよいでしょう。

XDRはエンドポイントからネットワークまでを統合的に監視することができますが、その後の対応は担当部署が実施する必要があります。そのため、ある特定の事象が検知された場合、どの部署が対応するか、どのような優先順位で対応するのかを、事前に決めておく必要があります。

例えば、ネットワーク部門とセキュリティ部門が別にある場合は、インシデントが発生した際に迅速な対応ができるよう、事前に社内の体制を構築しておくことが重要です。どの部署が、どのような対応を行うのか、各部署が担当する対応内容を明確にして、日頃から部門間で円滑な連携を取りあうことも大切です。
あるいは、CSIRTなど社内のインシデント対応の体制を構築しておけば、XDRによって脅威を検知した後でもスピーディーに対応できるでしょう。

XDRは、収集・検知・分析などの作業を自動化できる点が特長ですが、インシデントの発生を検知した後に、どのような対処を行うのかの判断を行うのは人になります。そのため、XDRを有効に活用するためには、セキュリティに関する知見を豊富に持った人材を確保することが必須となります。

XDRを導入しただけでは万全とはいえず、企業の環境やセキュリティに関するリスクの変化に応じて進化させていく必要があります。より強固なセキュリティ対策を講じるためには、XDRの機能を適切にカスタマイズし、アップデートすることはもちろん、関連するデータやプロセス統合に加え、頻発しているリスクを回避できるようにするなどの取り組みも重要です。

既存のデータやシステムの関連付けを行うことで、重大なエラーのリアルタイムな把握や、精度・スピードの飛躍的な向上にもつながります。そのためにも、セキュリティに関する知見を豊富に持った人材を確保する必要があります。
自社にセキュリティに関する知見を持っている人材がいない場合には、アウトソーシングに頼るのも一つの手です。

ただし、アウトソーシングによる運用の場合には、運用範囲の拡大に伴いコストも増大しがちになります。そのため、アウトソーシングを検討する場合は何をアウトソースするか、自社で管理する範囲はどこまでかを明確にすることが重要です。自社でセキュリティ管理を実施する場合、XDRなら1か所で全体を統合的に管理できるため、負担の軽減につながります。

XDRは同一ベンダーであれば連携可能な製品も多くみられますが、最近では異なるベンダーの製品・サービスとも連携可能な「Open XDR」も登場しています。
導入済みのセキュリティの製品・サービスが多数ある場合は、さまざまなセキュリティ製品・サービスとの連携が可能なOpen XDRを導入することで、煩雑になりがちなセキュリティ運用の課題を解決できるでしょう。

日々刻々と変化するサイバー攻撃に対して、セキュリティ対策も多様化し、大きく進化していますが、幅広い領域を対処するためにさまざまなソリューションを組み合わせながら使用しているケースが散見されます。複数のソリューションを併用して運用していると、個別のアラートが増え、セキュリティ担当者の負担も増すばかりです。また、検知・対応時間が遅くなることで、新たなリスクも浮き彫りになってきます。

XDRは企業内で管理しているさまざまなログを俯瞰的に一元管理でき、搭載しているAI技術と機械学習機能によってインシデント対応を自動化することが可能です。

XDRを導入することでセキュリティ担当者の負担が軽減されると同時に、バラバラになっているセキュリティ対策の統一はもとより、インシデント発生時の迅速な対処、セキュリティ管理コストの削減など、多大なメリットを享受できるようになるでしょう。XDRを活用してセキュリティ強化を図りたいが、導入に際してハードルが高いと感じられる場合は、ぜひ専門家へご相談ください。