はじめに ~XDRなんでも相談 その①~
マクニカに勤務するセキュリティ対策のエキスパートでエバンジェリストの山田さんは、ある日、セキュリティ商材のセールスチームに勤務する吉川さんから相談を受けました。内容は「XDRとは何かを一から知りたい」というもの。吉川さんの質問に山田さんが答えます。
登場人物
| 名 前 | 山田 耕平 |
| 年 齢 | 30代 |
| 性 別 | 男性 |
| 職 種 | プリセールスエンジニア |
| 所属部署 | 要検討 |
| 概 略 | セキュリティ商材のプリセールスエンジニアとして活躍。社内外にXDRの必要性を啓発するエバンジェリスト的な役割も担っている。 |
| 名 前 | 吉川 里奈 |
| 年 齢 | 20代 |
| 性 別 | 女性 |
| 職 種 | セールス |
| 所属部署 | フィールドセールス |
| 概 略 | マクニカのセキュリティ商材のセールスチームに配属された中途採用の新人。前職では5年間、IT製品のマーケティングとフィールドドセールスの職務に就いていた。ただし、セキュリティ商材のセールスは未経験。 |
「XDR」とは?
山田さん、お時間を頂戴して恐縮です。
いえいえ、まったく問題ないですよ。「XDR」について知りたいんだよね?
ええ。実は、XDR製品のセールスを担当することになり、お客さまにお伝えする情報に誤りがあってはならないと考えまして。
なるほど。ならばXDRが「eXtended Detection and Response」の略称であることぐらいは、すでに調べているよね。
はい。ただし、XDRについて調べれば調べるほど混乱してしまって……。
かもしれないね。何しろ、プロバイダーによってXDRの定義がバラバラだからね。混乱するのも無理はない。
そうなんです。どれが正しい定義なのかが判断できず、まずは「XDRとは何か」から、山田さんにお聞きしようと。
了解です。では説明しましょう。まず、XDRとは一体なのか。その正しい定義をまとめると「多様なセンサー(データソース)から情報を収集し、それを横断的に分析することで、社内ネットワークで『いま、何が起きているか』の可視性と検知力を向上させ、インシデントへの対処・対応の能力を上げて組織・企業を守る」ということになる。メモした?
はい。仕事柄得意なんです。人の話のメモをとるの。
ところで、いまおっしゃられた「多様なデータソース」とは具体的に何を意味しているのですか。
ところで、いまおっしゃられた「多様なデータソース」とは具体的に何を意味しているのですか。
現時点(2023年2月時点)でEDRのセンサー(ないしは、データソース)に含まれているのは「EDR」や「NDR」「MDR」「SIEM」「SASE」「IDaaS」などのセキュリティソリューションだね。将来的には、IoTデバイスなどもデータソースとして含まれることになる。そうしたXDRのコンセプトを概念的に示すと、こんなイメージになる。
図1:XDRの概念図
| EDR | Endpoint Detection & Responseの略称。サーバやクライアントなどのエンドポイントにおける脅威の「検知」「調査」「封じ込め」「復旧」を実行するソリューションのこと |
| NDR | Network Detection & Responseの略称。ネットワークにおける脅威の「検知」「調査」「封じ込め」「復旧」を実行するソリューションのこと |
| MDR | Managed Detection and Responseの略称。EDR、NDRの機能や運用サービスを提供するサービスのこと |
| SIEM | Security Information and Event Managementの略称。システムを構成するさまざまな機器から大量のログを収集・相関解析し、異常を検視。アラートを発するソリューション |
| SOAR | Security Orchestration, Automation and Responseの略称。SIEMと補完関係にある技術で、セキュリティインシデントの監視から対処までを効率的に行えるようにするソリューション |
| SASE | Secure Access Service Edgeの略称。ネットワークとセキュリティのソリューションを一つにまとめたクラウドサービスのこと。SSE(Security Service Edge)は、SASEのサブセット。 |
| UEBA | User and Entity Behavior Analyticsの略称。システムのエンドユーザーの行動を分析して異常を検知するソリューション |
| IDaaS | ID as a Serviceの略称。クラウド型のID管理サービスを指す |
なるほど。XDRは既存のセキュリティソリューションを土台にしたものなんですね。
そうだね。別の言い方をすると、EDRやSIEMといったセキュリティソリューションの検査対象を拡張するための仕組みがEDRであるともいえる。
その説明のほうが理解は早いですね。いずれにせよ、XDRはまったく新しいセキュリティ技術を使ったソリューションではないということですか。
そのとおり。XDRは、実績のある成熟した脅威検知の技術を使用するソリューションで、既存の技術を使いながら、脅威の検知力、可視化の能力を高めるための仕組みなんだ。その意味で能力が未知数の新しいセキュリティ技術を使ったものでは決してない。だからこそ、XDR製品は信頼性と実効性が高いといえる。
「XDR」で何が良くなる、何ができるの?
XDRで具体的に「何ができるのか」「何が良くなるのか」についても知っておきたいのですが。
XDR導入の効果を一口に言えば、EDRやNDR、SIEMといったセキュリティソリューションの導入と活用を巡る課題を一挙に解決できることだね。言い換えれば、EDRやNDR、SIEMなどを導入し、自社のシステムをサイバー攻撃の脅威から守るべく真剣に取り組んでいる企業は、必ず大きな課題に突き当たる。その課題を解決するソリューションがXDRであるといえる。
そのXDRが解決する課題とは、具体的に何なのでしょうか。そもそも、EDRやNDR、SIEMの導入によってサイバーセキュリティは強化されると思うのですが。
確かに、EDRやNDR、SIEMといったセキュリティソリューションを導入することで、社内に潜在する脅威を検知し、影響範囲や原因を特定する能力を大幅に向上できる。ただし、それらの導入は「脅威の見逃し」に通じるような、ある種の「ジレンマ」を引き起こすリスクを内包しているんだ。
ジレンマですか? それはどのような悪循環なのでしょう?
そのジレンマを図示すると、この図のようになる(図2)。
図2:セキュリティソリューションの導入・活用におけるジレンマ
なるほど、EDR、NDR、SIEMなどの導入によって収集されるログや発せられるアラートがどんどん増えていき、セキュリティ担当者の運用負担が増大。結果として、脅威を見逃してしまうリスクが大きくなってしまうということですね。
そうだね。そして、EDRやNDR、SIEMのソリューションがそれぞれ発するアラートには多分に過検知によるものが含まれている。ゆえに、これらのソリューションを通じて、インシデントの発生を正しくとらえるためには、発せられたアラートが過検知によるものなのか、それとも正検知によるものなのかを大量のログを見ながら、正確に、かつ速やかに判断しなければならなくなる。
うーん、それは大変そうですね。
かなり大変だね。しかも、それを行うにはサイバー攻撃、あるいはセキュリティに関する相当の知識と技術スキルが要求される。
あ、そうした高度なスキルを持ったセキュリティ人材が足りていないって、お客さまから聞いたことがあります。
そう、セキュリティ人材の絶対数は業界全体で足りていない。そのため、社内ネットワークの監視を強化すればするほど、一握りの人材に負荷が集中し、検知漏れを引き起こすリスクが膨らんでいくことになる。
XDRの導入によって、そうしたジレンマ、あるいは悪循環を断ち切れるわけですね。
そのとおり。まず、XDRのソリューションによって、各種のデータソースからのログを統合し、相互に関連づけて単一のプラットフォーム上で管理できるようになる。これにより、「社内ネットワークでいま何が起きているか」をダッシュボード上でリアルタイムに可視化したり、インシデント発生時のログ検索を効率化したり、AI(人工知能)を使った膨大なログの自動解析・異常判断を実現することができる。
それによって、先ほどおっしゃられた運用の負担、工数は低減できるのでしょうか。
低減できると言い切れる。実際、XDRソリューションを使うことで、複数のデータソースから集めたログを横断的に分析し、インシデントの検知・発見、そして対処・対応のプロセスを標準化・効率化・自動化することができる。これにより、検知漏れを回避しながら、運用の工数と運用に要求されるスキルをともに低減していくことができるんだ。
過検知の問題も解決されるのですか。
そう、解決できる。XDRソリューションを導入すると、ログやアラートを効率的に処理して脅威の検知・発見の精度を継続的に向上していけるからね。より詳しく言えば、XDRのソリューションによって、複数のソースから収集するログの分量を適正化しながら、過検知を抑制したり、新たな脅威を発見したり、脅威発見後の優先順位づけや、インシデントの追跡調査などを自動化・効率化していくことができる。それによって、脅威発見の精度が高められることになる。
なるほど、XDRソリューションを導入する効果はわかりました。ところで、そもそもXDRの仕組みは簡単に構築できるものなのでしょうか。
良い質問だね。実のところ、複数のデータソースから適切なログを集めて、分析できるようにするのは簡単ではなく、収集対象のソース選びにはじまり、どのようなログを収集するかの設計を行ったり、データソースからログを収集するためのAPIを開発したりするなど、成すべきことが数多くある。そうした作業を容易にするのが、XDRソリューションの重要な役割の一つといえる。
つまり、XDRのソリューションは、XDRの仕組みづくり、あるいは導入を容易にするものでもあるということですね。
そのとおり。ゆえに、適切なXDRソリューションを採用することで、新しいデータソース(セキュリティソリューション)を追加導入し、検査の対象を広げる作業も効率化されるんだ。
「XDR」ってどんな仕組み
最後にもう一つ、XDRのシステム的な構造について教えてください。
XDRの構造はシンプルで、それを図示するとこの図のようになる(図3)。
図3:XDRのシステム構成
この図からもわかるとおり、XDRは大きく「データソース」の部分と、「データストア&解析エンジン」の部分とに分かれている。
なるほど、その「データストア」の部分で、収集した多様なログ(フォーマット)の正規化(Normalization)処理が行われ、包括的な検索や分析が可能な状態になるわけですね。構造的にはビックデータの収集と分析を行うためのシステムに似ていますね。
そう、似ているね
確かSIEMの仕組みも、これと似たような構造を成しているように思えるのですが。何か構造的な違いはあるのですか。
いや、システムの構造的にはXDRとSIEMとの違いはない。先に見せた図(図1)からもわかるとおり、XDRはSIEMを包含したコンセプトで、あくまでもSIEMの検査対象を拡張したり、SIEMの有効活用を実現したりするためのソリューションだからね。データの処理と運用の中心になるのはSIEMの仕組みである覚えておいたほうが良い。
そうなんですね。
そう。また、SIEMと構造的に同じだからこそ、XDRのソリューションではSIEMなどで培われてきた成熟した技術がそのまま使えるともいえる。
わかりました。今日はありがとうございます! XDR絡みでまたわからないことがあったら、相談にのってください。
了解!
今回の3つの学び
- XDRって何?
EDRやNDR、SIEMといった多様なセンサー(データソース)から情報を収集して横断的に分析して脅威の可視性と検知力を向上させ、インシデントへの対処・対応の能力を上げるためのソリューションである。新しいセキュリティ技術ではなく、実績のある成熟した技術を土台にしている - XDRで何が良くなり、何ができる?
XDRソリューションの導入によって、EDR、NDR、SIEMなどの導入・運用を巡る課題が包括的に解決される。XDRで解決される課題は、サイバーセキュリティ対策に真剣に取り組む企業が必ず突き当たるものでもある - 「XDR」ってどんな仕組み?
XDRは、データソースから情報を収集し、統合的に検索、分析するためのコンポーネントから構成される。システムの構造的にはSIEMと同じであり、ゆえにSIEMで使われている成熟した技術をそのまま使用することができる。
お問い合わせ・資料請求
株式会社マクニカ XDR 担当
- TEL:045-476-2010
- E-mail:XDR@macnica.co.jp
月~金 8:45~17:30