XDRとEDRソリューションの比較:
主な類似点と相違点

パンデミックが世界に与えた影響は甚大であり、あらゆる地域において最新のクラウドベースのエンドポイントセキュリティソリューションの採用が進んでいます。企業はランサムウェアやその他の高度化するサイバー攻撃による脅威から企業を守るために新技術への投資を進めており、この傾向は今後も急速に拡大していくことが予想されます。

あらゆる規模の企業において、エンドポイント(ワークステーション、モバイル機器、サーバーなど)の防御がセキュリティ戦略において重要なコンポーネントとなっています。通常エンドポイントの防御には、EPP(Endpoint Protection:エンドポイント保護)とEDR(Endpoint Detection & Response:エンドポイントにおける検知と対応)ソリューションを組み合わせて使用します。これは従来のオンプレミス型ウイルス対策ソフトウェアからの自然な移行であり、あらゆる規模の企業が高度な脅威の増大に直面している状況下で、多くの企業がこの組み合わせの導入を進めています。米国の調査会社であるGartner®は、「2025年末までに、企業の60%以上が、旧来のアンチウイルス製品を、検知と対応機能を備え予防機能を補完するEPPとEDRを組み合わせたソリューションに置き換えるだろう。」と予測しています。(1)

では、XDR(Extended Detection & Response:拡張された検知と対応)についてはどうなのでしょうか? XDRは、EDRとEPPの組み合わせがアンチウイルス製品に取って代わったのと同じように、最終的にはEDRとEPPの組み合わせに取って代わる次世代のエンドポイントセキュリティなのでしょうか? それともこれは、ベンダーが古い技術を新しい言葉で置き換えただけの宣伝文句に過ぎないのでしょうか?

XDRとは

XDRという言葉は、2018年の業界カンファレンスでNik Zur氏が初めて使った言葉です。XDRはエンドポイントを超えて検知と対応を行うもので、EDRをクラウドベースのセキュアメールゲートウェイやIAM(Identity and Access Management)ソリューションなどの追加コンポーネントと統合したものです。

XDRが必要とされているのは、統合された総合的なセキュリティソリューションへの需要があるからです。エフセキュアの調査によると、82%の企業がオールインワン型のサイバーセキュリティソリューションを求めています。(2) 米調査会社のForresterは、XDRソリューションをハイブリッド型とネイティブ型の2つのカテゴリーに分けています。ハイブリッド型のXDRプラットフォームはサードパーティのソリューションからのデータやテレメトリを統合しますが、ネイティブ型のXDRは、同じベンダーのポートフォリオ内のソリューションのみを統合します。(3)

この意味で、XDRは実際には新しいソリューションではなく、これまでバラバラだった既存のソリューションを統合したものといえます。理論的には、XDRによって単一のソリューションで以下のような強化された検知機能を提供することができます:

    1. 複数のソースからのテレメトリを相関させる

    2. 単一のデータレイクにより、効率的な調査を可能にする

    3. EDRに比べ、より広範な対応アクションが可能になる

異なるソースからのデータを相関させるのは、個別には目立ちにくいIOA(Indicators of Attack)やIOC(Indicators of Compromise)を組み合わせて、セキュリティ担当者が気づかなかった攻撃者を簡単に捕捉できるようにするためです。

複数のデータソースからのイベントを保存することは、SIEM(Security Information and Event Management)ソリューションの仕事だと考える人もいるかもしれません。しかしSIEMソリューションは、高度な攻撃を検知するというよりも、多くの場合ログの保存やコンプライアンス要件を満たすための基本的な検知のユースケースを満たすように設計されています。またSIEMソリューションはリソースを大量に必要とするため、データソースの数が多くなった場合に管理が困難になることがあります。

EDRを中核とするXDRは検知に特化しており、新しい環境に導入した際にすぐに結果を出すことができます。また、SIEMソリューションが検知のみであるのに対し、XDRソリューションは豊富な対応機能を備えています。

最後に、XDRソリューションはEDRよりも広範なテレメトリを受け入れますが、SIEMのように「何でも送って下さい」というソリューションではありません。優れたXDRは、重大な攻撃の検知と調査において明確な価値をもたらすデータソースに重点を置いています。

つまり、SIEMソリューションは「検知と対応」の機能を拡張するようには設計されておらず、XDRソリューションはSIEMソリューションに取って代わるようなものではないということです。

EDRとは

前述の通りEDRはEndpoint Detection and Responseの略で、組織のネットワーク上のすべてのエンドポイントに導入される技術です。簡単に言うと、EDRの検知機能はエンドポイントで発生するプロセスの実行やネットワーク接続などのセキュリティ関連イベントをキャプチャすることで機能します。結果として得られたデータセットを分析することで、悪意のある行動や異常な行動を検知し、プロセスの終了、ファイルの削除、ネットワークの遮断などの対応機能を使って修復することができます。

EPPが明らかに悪意のある行為を阻止するための自動化された予防層であるのに対し、EDRは予防的コントロールを回避しようとする攻撃を、実際に被害が発生する前に人間の専門家が捕捉し修復できるようにするための最終防衛ラインです。

EDRの中核となる検知と対応の機能の概要と、すべての企業がエンドポイントでの検知と対応のソリューションを必要とする理由については、「EDR ソリューションを
必要とするつの理由
」をご覧ください。

EDRとXDRの類似点と相違点

これらの類似点としては、EDRとXDRのどちらのソリューションも、エンドポイントを主な検知ソースとして行動分析と脅威インテリジェンスの手法を用いて高度な脅威の検知と対応を行うことが挙げられます。

これにより、以下のような重要なセキュリティタスクを実行することができます:

  • リアルタイムモニタリング:EDRとXDRのどちらのソリューションも、継続的にデータを収集・分析し、異常な動作や悪意のある動作を検知します。すべてを「単一のデータレイク」に集約することで、サイバーセキュリティアナリストは迅速かつ容易に監視とトリアージを行うことができます。
  • アラートと対応:高度なEDRおよびXDRソリューションでは誤検知の数が少なくなるため、担当者がアラート疲れを起こさず、重大な脅威への迅速な対応が可能になります。
  • プロアクティブな脅威の発見と調査:EDRとXDRのどちらのソリューションでも、セキュリティアナリストは、自動化されたアラートだけでなく、アラートをトリガーしなかった捉えにくい攻撃者の活動を検索することができます。

EDRとXDRの違いはさまざまで、中にはEDRがXDRと名前を変えただけで実質的な違いはないというケースもあります。真にEDR以上の価値を提供しているXDRソリューションは少ないため、個々のソリューションの機能について詳細な評価を行うことが重要です。

優れたXDRソリューションは、テレメトリのデータソースと対応の統合を、最も重要な領域にまで拡大することができます。ネットワークインフラから単純に多くのデータを取得するだけでは、検知能力は必ずしも向上しません。最も拡散している攻撃を検知する能力と、それらの攻撃を阻止するための効果的な対応のための能力をサポートするためには、適切なテレメトリが必要です。

Verizonの調査によると、すべての侵害のうち22%にフィッシングが関与しているということです。(4) EDRとメールセキュリティ機能を組み合わせたXDRソリューションが、どのようにしてフィッシング攻撃を効果的に検知し対応するのかをご紹介します:

  1. EDRソリューションを用いてターゲットのワークステーションの最初の侵害を検知する。
  2. 感染経路がフィッシングメールであることを確認する。
  3. メールセキュリティソリューションから収集したデータを使用して、同じフィッシングメールを受信したがまだ開いていない他のユーザーを特定する。
  4. そのメールを隔離して、さらなる感染を防ぐ。

As the example above demonstrates, there are three core differences between EDR and XDR:

  EDR XDR
ソリューションのカバー範囲 EDRは、エンドポイントエージェントやセンサーを使用します。一般的にEDRは、エンドポイントに特化した別のソリューションであるEPPとシームレスに連携しています。 XDRは、エンドポイントだけでなく、複数のテレメトリソースを対象とした検知と対応の機能を統合することを目的としています。現代のIT環境では、Eメールとアイデンティティが最も価値のあるものとしてカバーされています。
テレメトリのカバー範囲 EDRは、テレメトリの最も豊富なソースであるエンドポイントにのみ焦点を当てており、他のテレメトリソースには関心がありません。

XDRは、複数のソースからテレメトリを収集し、それをクラウドベースの「データレイク」で利用可能にし、エンドポイントを超えた幅広い可視性を得るために相関させることを目的としています。

対応のカバー範囲 EDRは、エンドポイントで確認された攻撃のうち、EPPでブロックされていないものを阻止するための調査と対応を可能にします。 XDRは、エンドポイントを超えて対応を拡張し、最終的には上記のフィッシングの例のように、調査と対応の活動を自動化することを目的としています。

自社に適した検知と対応のソリューションはどちらか?

米調査会社Ponemonの「Cost of a Data Breach」(5) レポートによると、最先端のセキュリティを備えた数百万ドル規模の企業を含め、2020年には3分の2の企業がデータ侵害を経験したということです。したがってまず気をつけなければならないのは、単純にツールやテレメトリのソースを増やしても、あらゆる種類のサイバー攻撃から免れることができるわけではないということです。最悪の場合、ツールを増やすことで複雑さが増し、自社の環境を守るという真の優先事項から注意が逸れてしまうことになります。

強力な予防策とEDRを組み合わせることで、侵害のリスクを低減できるだけでなく、攻撃の迅速な検知と対応を可能にすることで、その影響を抑えることができます。

堅牢なEPPとEDR機能を備え、自社(またはサービスプロバイダー)がエンドポイントで特定された脅威に対応する能力を持っている場合、XDRによって検知と対応を「拡張」することができます。XDR(Extended Detection and Response)ソリューションは、EDR単体よりも広範な機能を提供することで、新たな攻撃ベクトルから組織を守り、侵害に効率的に対処することができます。ファイアウォールやメールセキュリティゲートウェイなど、オンプレミスのレガシーなセキュリティ技術をEDRと組み合わせて「XDR」と呼んでいるベンダーには注意が必要です。これらのレガシー技術が存続しなかったことには理由があり、それらをベースにしたXDRソリューションは、統合型のクラウドネイティブなXDRソリューションの真のメリットを実現するには不十分です。

最後に、セキュリティ意識の重要性を忘れてはいけません。テクノロジーは、慎重に作られたフィッシング攻撃などの高度な攻撃の犠牲になる人々を常に守ることはできません。しかし適切なテクノロジーは、攻撃を素早く検知して対応し、組織への影響を最小限に抑えるための助けになります。

エフセキュアの「EDRの導入前に確認すべき10のポイント」という記事では、EDRとXDRの両方を選択する際に適用できるトピックスをご紹介しています。

リファレンス
[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, Rustam Malik, 18 Feb 2021. GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission.
[2] F-Secure Global B2B Market Research survey of 2750 IT/Network Security decision makers and influencers, 2020.
[3] Forrester, Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR, Allie Mellen, 28 April 2021.
[4] Verizon, Data Breach Investigations Report, 2020.
[5] Ponemon, IBM, Global Cost of a Data Breach Study, 2020.