複数の情報の相関をみつけだせ！「XDR」とは何か？SIEMやSOARとの違いも解説

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「XDR」（Extended Detection and Response）です！EDR（Endpoint Detection and Response）はよく耳にするのですが、XDRの方は何やらもっと「拡張したもの」のようです。EDR、さらにはSIEMなどの似たようなサービスと何が違うのでしょうか？

早速見ていきましょう！

XDRとは？

XDR（Extended Detection and Response）は、近年注目されているサイバーセキュリティ上の重要な技術の一つです。

この「XDR」の「X」は「拡張」を意味します（Eにすると「EDR」と被りますからね…）。そのこころは、エンドポイントだけに留まらず、ネットワークやサーバ、メールなど複数のデータソースから情報を収集し、脅威を検出・対応できるということです。ネットワークに注目するなら、NDR（Network Detection and Response）という言葉もあります。

XDRは、2018年にパロアルトネットワークスのNir Zukさんによって提唱されたそうです。比較的新しい概念ですね。パロアルトネットワークスは、アメリカに本社を構えるサイバーセキュリティ会社です。

概要はつかめました！

XDRの特長

XDRの最大の特長ってなんでしょうか？それは、「複数のセキュリティ製品を統合すること」です。これを簡単に言うと、XDRは複数のセキュリティツールを一つにまとめて使うことで、スムーズで一貫性のあるセキュリティ対策ができるということです。

もっとかみ砕きますか。例えば、とある会社がセキュリティ対策をするために、以下のようなツールを使っているとします。

• ウイルス対策ソフト

• ファイアウォール

• メールセキュリティ

• ネットワーク監視ツール

これらのツールが別々に動いていると、それぞれが個別にデータを集めて分析します。そのため、情報がバラバラになりがちです。例えば、ウイルス対策ソフトが検出した脅威とネットワーク監視ツールが見つけた異常が関連しているかどうかを判断するのが難しい場合があります。

では、XDRが何をするのかというと、これらすべてのツールを一つにまとめて、情報を統合して分析します。

こうすれば、ツール間の連携がスムーズになるため、脅威を早く見つけて対処することができます。

それはSOCの皆さんにとってはありがだいですね！

SIEMとXDRの違い

ここまで読んで、「ちょっと待て！SIEM（Security Information and Event Management）と何が違うんだ？」と思った方、あなただけではございません。

SIEMとXDRは、どちらもセキュリティ脅威の検知と対応を目的とした技術です。重なる部分もあると思いますが、いくつかの違いがあります。

• データ収集範囲：SIEMは主にログデータを収集して分析しますが、XDRはログデータに加えてネットワークトラフィックやエンドポイントの動作データなど、多様なデータソースを対象とします。

• 脅威検知の精度：XDRは、複数のデータソースを統合することで、より精度の高い脅威検知が可能です。一方、SIEMはログデータに依存するため、特定のタイプの脅威検知には限界があります。

• 対応の迅速さ：XDRは、収集したデータをリアルタイムで分析し、迅速に対応することができます。SIEMは主にイベントの相関分析（あるログやアラートがお互いに関連しているかを調べること）に重点を置いているため、対応速度に違いがあります。

まあ、ログ中心のSIEMに対して、XDRはログだけでなくリアルタイムの情報も収集して検知して分析することに力点があります。

ちなみに、SOAR（Security Orchestration, Automation, and Response）との違いも気になりますね。こちらは、「Response」が含まれますし、多様なデータソースを扱う点も同じです。ただ、主にインシデント対応プロセスの自動化に焦点を当てている技術といえましょう。

はい、本日はここまで！今回はXDRについてご紹介しました！