最近まで、組織はエンドポイント、ネットワーク、または電子メールなどの攻撃面を保護するために個々のサイバーセキュリティソリューションに依存していました。しかし、サイバー脅威の複雑化は、このアプローチの限界を示しています。このアプローチでは、システム全体のリアルタイムでの概観を常に提供するわけではありません。こうした中で注目されるのが、XDR(Extended Detection and Response)です。本稿では、XDRの歴史、概要、導入メリット、課題について詳しく解説します。
エンドポイント・セキュリティ・ソリューションの限界
インターネットの登場以来、インターネットに接続されているデバイスの数は増加の一途をたどっています。その総数は2020年には97億台と推定され、2030年には290億台を超えると予想されています。
インターネットに接続するデバイスの増加とともに、サイバー脅威も拡大しており、悪意のあるソフトウェアを検出する役割に限定されたアンチウイルスは、エンドポイント・セキュリティ・ソリューション(以下、EPP)に置き換えられるようになりました。
EPPはシグネチャ検出、振る舞い分析、レピュテーションベースの脅威インテリジェンスに基づき、既知の脅威をブロックすることを目的とした最前線の防御として設計されていますが、それでもサイバー脅威の進化に追いつくのに苦労しました。
EDRの台頭
次に登場したのはEDR(Endpoint Detection and Response:エンドポイントにおける検出と対応)です。これは、エンドポイントのセキュリティデータをリアルタイムで監視・収集し、自動化された脅威対応のメカニズムを備えたエンドポイント・セキュリティ・ソリューションです。
EDRは脅威を特定し、システムが侵害されたことを通知し、インシデントへの対応方法を提案することに重点を置いています。EPPよりも防御力が高いEDRは多くの企業によって広く採用されたものの、またも脅威側の進化により、さらに高度な検出、保護、対応、復旧能力が求められることになりました。
XDRの時代へ
エンドポイントを保護の対象としているEDRよりも強力な検出能力を備えているのXDR(Extended Detection and Response)です。XDRはエンドポイントに加えて、ネットワークデバイス、クラウド、脅威インテリジェンスなど複数のソースからのデータを統合するで、脅威の状況をより包括的に把握して提示します。
XDRは、AI、機械学習、先進的な調査を使用して、リアルタイムでインシデントを特定して対応するため、待機時間を短縮します。しかし、すべてのXDRソリューションが同じように作られているわけではありません。
XDRプロバイダーの選び方
XDRのプロバイダーを選定する際に留意すべき点は以下3点です。
ネイティブなツールの提供
多くのXDRプロバイダーが存在しますが、複数のセキュリティソリューションを統合したネイティブツールを選ぶことが重要です。これにより、迅速に攻撃を阻止しながら、エンドポイント、ネットワーク、クラウド、電子メール、データ保護のセキュリティを確保できます。
脅威インテリジェンスの提供
脅威インテリジェンスの収集においては、組織内外のリソース、時によってはサプライヤ自身のリサーチセンターからもデータと情報を収集します。XDRプラットフォームに統合された脅威インテリジェンスの情報フローは、脅威の検出と攻撃への対応を最適化します。
ユーザー目線で設計されたインタフェース
セキュリティチームは多くの情報を処理しなければならないため、インシデントへの対応速度が低下することがあります。コンソールと呼ばれることもある管理インタフェースは、情報を簡素化し、効果的な方法で表示するため、セキュリティチームのインシデント対応能力を向上させ、最終的には組織全体の利益につながります。
サイバーセキュリティ業界の進化に伴い、組織は急速に進化するサイバー脅威から身を守るためにXDRを採用・導入しています。現在、XDR市場に参入するプレイヤーはますます増えており、適切なサプライヤーを選定することが難しい状況になっています。
そのため、今日のダイナミックな脅威環境に迅速に適応し、それらから学び、ユーザーが脅威の一歩先を行く支援をするために、常に進化しているサプライヤーを選ぶということを念頭に置くことが重要です。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
