XDRでこんな悩みは解決できる？

マクニカに勤務するセキュリティ対策のエキスパートでエバンジェリストの山田さんは、セキュリティ商材のフィールドセールスを担当する吉川さんの依頼で、EDRやSIEMを運用中の部品メーカー（仮名：A社）の情報セキュリティ担当、大谷氏のもとに赴くことになりました。訪問の目的は、XDRを巡る大谷氏の疑問に答えることです。

登場人物

名　前	山田 耕平
年　齢	30代
性　別	男性
職　種	プリセールスエンジニア
所属部署	要検討
概　略	セキュリティ商材のプリセールスエンジニアとして活躍。社内外にXDRの必要性を啓発するエバンジェリスト的な役割も担っている。

名　前	吉川 里奈
年　齢	20代
性　別	女性
職　種	セールス
所属部署	フィールドセールス
概　略	マクニカのセキュリティ商材のセールスチームに配属された中途採用の新人。前職では5年間、IT製品のマーケティングとフィールドドセールスの職務に就いていた。ただし、セキュリティ商材のセールスは未経験。

名　前	大谷 英喜
年　齢	40代
性　別	男性
職　種	情報セキュリティ担当
所属部署	従業員2,000人規模の部品メーカー（お客様）
概　略	自社のセキュリティ方針の企画を進める中で、セキュリティの管理体制に問題意識を持ち始める。「XDRによってセキュリティがどう強化されるのか」が釈然とせず、社内に提案できず困っている。

 

EDRとXDRとの違いは？

山田さん、吉川さん、お忙しいところ、わざわざご足労いただいてしまい申し訳ない。

いえいえ、お客さまのお問い合わせに対応するのは、私たちの仕事ですので。

実は先日、「XDR （eXtended Detection ＆ Response）」というソリューションがあるとの紹介を吉川さんから受けたのですが、追加でいろいろと尋ねたいことがありまして。

すみません、私が大谷さんの疑問にお答えできなくて。

いやいや、それは構わないですよ。逆に専門家に来ていただいて助かります。

何でもお尋ねください。改めての確認ですが「EDR（Endpoint Detection ＆ Response）」や「SIEM（Security Information and Event Management）」はすでにお使いなのですよね。

ええ、使っています。なのでXDRの導入でEDRやSIEMの何が、どうなるかが知りたいと思っています。

わかりました。まず、EDRとXDRとの関係について言えば、EDRがカバーする範囲をEndpointから拡げたものがXDRと捉えるとわかりやすいと思います。

なるほど。

ご存知のとおり、EDRは脅威の検知・対応に優れたソリューションです。しかしEDRには出来ることと出来ないことが、この図のようにございます。

XDRは、このうちEDRで出来ないことを補った結果がXDRになるということです。

つまりは、XDRはエンドポイントだけではなく、その周辺部分のログを集めて分析し、脅威の検知力やインシデント原因の調査能力を高める仕組みであると。

そのとおりです。

SIEMとXDRとの違いは？

EDRがカバーできない範囲のログは、他のセキュリティソリューションから集めるんですか。

おっしゃるとおりです。XDRでは、EDRなどのセキュリティソリューションを「センサー（ないしは、データソース）」と呼び、そこからログ、アラートを取り込むようになっています。

うーん、それってやはりSIEMと似ていますね。

似ていると申しますか、目指すところはSIEMとXDRはほぼ同じです。また、XDRにおけるログやアラートの収集・処理の仕組みもコア部分はSIEMと一緒です。例えば、この図のようなかたちです。

なるほど。コアの仕組みはSIEMと同じですか。実を言えば、SIEMはすでに使っていますが、使い切れていないんです。SIEMが発するアラートに対応し切れていないといいますか……。

そうしますと、ひとまずログやアラートを集約・蓄積し、SIEMのダッシュボードを通じてアラート状況の可視化は行っているものの、インシデント発生時に調査・分析を行い、影響範囲や原因などの特定を速やかに行うまでには至っていないということですか。

ご推察のとおりです。

まさにその悩みを解決するのがXDRのソリューションで、そこにXDRの存在価値があるといえます。

要は、XDRの導入でセキュリティ対策としてSIEMを有効活用できるのですね。SIEMは運用の中枢なので、運用そのものを支援してくれたりして仕事が楽になると助かるのですが、どうでしょうか？

楽になります。XDRとして成熟した技術を活用することで本当に重要なアラートや脅威だけを可視化し、かつ、その脅威に対応するスピードを上げることができます。

なるほど。つまり、XDRは、セキュリティに関する広範な情報やイベントを管理（マネージ）するだけのものではなく、速やかな「Detection & Response（検知と対応）」を実現するためのソリューションであると。

おっしゃるとおりです。

XDRによる運用工数の削減方法は？

ところで、XDRは運用を楽にする、つまりは、セキュリティ対策の運用工数を低減するだけではなく、運用に要するスキルも低減できるのですか。

それも可能です。

そうだとすると当社にとって本当に助かります。何しろ当社の場合、IT部門の人員数は20名程度で、うちセキュリティに関して相応の知識とスキルをもった人間は数名程度しかいません。正直、今の体制でEDRやSIEMを活用するにも人手が足りないのが実態です。また、昨年は担当者が退職してしまい、一時的に業務が大変なひっ迫状態に陥りました。ですので、セキュリティ対策の熟練者でなくても、セキュリティ対策の運用がしっかりと行えるような環境を早急に整えなければならないと考えていました。

そうした状況は御社のみならず、多くの企業に共通して見受けられるものです。また、だからこそ、当社でもXDRのソリューションの普及に力を尽くしているわけです。

そこでお聞きしたいのですが、XDRのソリューションを使うと、どのように運用工数や要求スキルの低減が実現されるのでしょうか。

まず、XDRではSOARを活用することでEDRを始めとしたさまざまなアラートを取り込み、必要なアクションを自動化できます。更に、そのアラートの緊急度に応じたインシデント対処の処理判断を行い、即座に取るべき対処として例えばEDRの感染端末特定やネットワーク隔離を自動化できます。

なるほど。人手を介さなくても漏れなく速やかな対応が取れるし、判断基準を定めることで人依存も解消できるということですか。

また、例えばアラートから不正URLを検出してProxyのブラックリストに自動登録し、二次被害を未然に防止することも可能です。これらの処理をまとめると、この図のようになります。

これはいいですね。

このようにセキュリティ運用をきちんと定義し、XDRとして仕組みを造りあげることで運用の効率化が可能となります。

いいですね。これならば、過剰なログと過検知による大量のアラートへの対応に追われ、重要なアラートを見逃してしまうリスクが減らせそうです。

おっしゃるとおりです。そして、脅威の発見と対応の成熟度を高めながら、段階的に分析対象のログの数量を増やしていき、検知の精度を高めていくこともできるんです。

XDRの適切な導入方法は？

当社の場合、SIEMを導入するときに相当の手間がかかったのですが、XDRの導入にはどの程度の手間が必要なのでしょう。アーキテクチャがSIEMと同じだとすれば、XDRの導入にも相当の手間を要すると想像しますが。

確かに、通常であれば、XDRの導入には相応の工数がかかります。その設計プロセス、つまりは導入プロセスを図示すると、この図のようになります。

うーん、想像したとおりですね。これだけの手間がかかるとなると、当社には導入の敷居が少々高いかなあ。

そこで重要になるのはソリューションプロバイダーの選び方です。

というのは？

まず、XDRのソリューションには大きく2つのタイプがあると考えてください。

2つのタイプですか。

そう、2つです。1つは、単一ベンダーのツールを統合するタイプの「クローズドXDR」。もう1つは、サードパーティ製品との連携やAPIの提供、アライアンス推進などを前提とした「オープンXDR」です。

「クローズドXDR」の導入は当社には難しいですね。すでにEDRやSIEMを導入していますから、その環境をXDRの導入を機にすべて他の製品に入れ替えるようなことはできません。

おそらく多くのお客さまがそうであるはずです。したがって、オープンXDRの導入にかかる手間をどれだけ減らせるかがカギとなるわけです。

つまりは、オープンXDRの導入をどの程度まで支援してくれるかを基準にプロバイダーを選べば良いということですか。

おっしゃるとおりです。

なるほど。ということなので吉川さん、山田さんのいまの説明をベースにXDRソリューションの提案書をもってきてください。

もちろんです。当社ではオープンXDRをさらに導入しやすくなるよう、お客さま目線でXDRの検証（導入・テスト・運用）を行う「XDR Lab」を推進していますから。

お、知っていたんだ「XDR Lab」のこと（笑）

当然です。

期待して提案を待っていますよ（笑）

今回の3つの学び