【市場整理】Extended Detection and Response(XDR)とは
<一言説明:XDRとは>
組織で利用しているあらゆるセキュリティ対策製品からのアラートやデータを収集し、分析、情報を関連づけることで重要なセキュリティイベントを抽出し、セキュリティ運用を容易にするSaaS型セキュリティ運用プラットフォーム。
※注意:本記事作成者の解釈
XDRとは
XDRはExtended Detection and Responseの略称。
最新の定義としては、2021年11月8日に米国の調査会社Gartner社によって公開されたドキュメント「Market Guide for Extended Detection and Response」にて定められたものが最新。(2023年3月時点)
<XDR定義の意訳>
XDRとは、脅威の防御や検知、セキュリティ対応のために導入されている複数のセキュリティ対策製品から生じるセキュリティアラートやデータに対して、統合し、相関分析を行い、関連付けるためのプラットフォーム。
※注意:本記事作成者の解釈での意訳であり、原文はGatner社のドキュメントを確認ください。
XDRのはじまり
2018年、Palo Alto Networks社の創業者(Founder)で最高技術責任者(CTO)であるNir Zuk(ニール ズック)氏が提唱した、新たなセキュリティ対策製品市場。
※Palo Alto Networks社主催のセキュリティカンファレンス「Ignite 18 USA」内にて発表。
XDRが提唱された背景
2018年当時から、多くの組織に共通するセキュリティ運用課題の1つが「セキュリティイベントの可視化や抽出」にあった。
具体的には、組織が導入するセキュリティ対策製品の多くはそれぞれ専用製品であるためにサイロ化(※1)していた。エンドポイント対策であればエンドポイントの情報だけを、ネットワーク対策であればネットワークの情報だけを、と言ったように、特定の領域の情報だけで脅威の検出を行うため、検知やリスク判定のために必要となる情報が欠けることが多く、過検知(False Postive)や検出漏れ(False Nagative)にもつながっていた。
実際に組織が求めるものは、さまざまな領域の情報を包括的に組み合わせた脅威検知を実現できる統合プラットフォームであり、セキュリティ対策製品を提供するベンダ側と、利用する組織(顧客)側にはギャップがあった。
XDRの目的は「このギャップを解消すること」。
さまざまな領域の情報を繋ぎ合わせ分析を行うことで、導入しているセキュリティ対策製品からの莫大なセキュリティアラート(イベント)の中から、セキュリティインシデントに繋がりかねない真に対応すべき重要なセキュリティイベントを絞り込むことが可能であり、セキュリティ運用担当者(アナリスト)が過検知対応という無駄な対応に忙殺される事態を避けることにつながる。
加えて、包括多岐な分析を行うために、セキュリティイベントに対する調査と復旧を容易にする効果も期待できる。
<補足>
※1:セキュリティ対策製品は個々に独立して導入・利用されるものであり、相互の連携や相乗効果を期待した利用が難しいケースが多い。
XDRの構成要素
XDRプラットフォームは情報を収集するセンサー(XDRフロントエンド)と、解析基盤であり実際に利用者がアクセスするプラットフォーム(XDRバックエンド)から成る。
XDRフロントエンド
XDRプラットフォームに情報を収集するためのセンサーの役割。
少なくとも三種類以上のセンサーを活用することが必要とされ、XDRソリューション自体でセンサーを提供し情報収集する方法だけではなく、既存のソリューションと連携し情報を収集する方法も可能。
例:FireWall、NDR、SWG、EPP/EDR、UEM、SEG、DLP、CWPP、IAM、CASBなど
XDRバックエンド
XDRプラットフォームの解析基盤と利用者が操作するプラットフォームの役割。
ポイントは大きく以下の4点。
・SaaS提供された統合コンポーネントであること
・オンプレミスの構成要素は最小限であること
・収集した情報を物理的に異なる複数ロケーションで保持すること
・対応自動化のための他製品連携やワークフロー機能を提供すること