XDRとは
Extended Detection and Responseの略。エンドポイント、ネットワーク、メール、クラウドなどに設置したセキュリティー製品の情報を統合・分析、脅威をいち早く検知して対応までを行うセキュリティー対策の概念。
近年のセキュリティー市場では、エンドポイントやネットワーク、クラウドなど幅広い環境から情報を収集・分析して脅威の検出や対処を行うXDRの存在感が高まっている。果たして、XDRはセキュリティー対策のスタンダードになるのか。日本コンピュータシステム販売店協会(JCSSA)が3月11日に開催したセキュリティーセミナー「XDRで実現するモダンなセキュリティオペレーション」の内容を基に、XDRの現在地を分析する。
(取材・文/岩田晃久)
センサーはエンドポイントとネットワークが基本
セミナーには、米Cisco Systems(シスコシステムズ)日本法人で、APJC XDR Sales Leadを担当する平岡龍弘氏、トレンドマイクロの大田原忠雄・プラットフォームイネーブルメント部エキスパート、米Palo Alto Networks(パロアルトネットワークス)日本法人の室井俊彦・ソリューション技術本部Cortex技術部部長がパネリストとして登壇。SB C&Sの竹石渡・ゼロトラスト推進室室長セキュリティエヴァンジェリストがモデレーターを務めた。
XDRは、パロアルトネットワークスの創業者で最高技術責任者を務めるニア・ズーク氏が2018年に提唱した概念だ。パロアルトネットワークスの室井部長は「EDR(Endpoint Detection and Response)を使ってエンドポイントを単体で見るのではなく、環境全体を理解した調査・対応をしなくてはならないという考えからXDRが始まった」と説明した。
XDRは、エンドポイント、ネットワーク、メール、アイデンティティー、クラウドなどさまざまな環境に設置されているセキュリティー製品をセンサーとして、ログをはじめとした各種データを収集し、AIなどを用いて分析を行い脅威の検出から対応までを実行する。
では、いくつのツールからデータを収集すればXDRの価値が生み出せるのか。シスコの平岡氏は「最低でも二つ以上。多ければ多いほど効果を発揮する」と述べた。パネリストの3氏とも、XDRを実現するのに基本となるセンサーとしてエンドポイントとネットワークの二つを挙げ、その次にアイデンティティーやクラウドが重要だという見解を示した。このことから、ユーザー企業は、最初はエンドポイントとネットワークの連携といったようにスモールスタートし、徐々に連携する範囲を広げるといったステップで、自社の環境に合わせて導入できるのがXDRの特徴だということが分かる。
シスコシステムズ
また、検知と対応を目的とした製品の場合でも、実際には対応の部分は人の手を要するケースが少なくないが、各ベンダーはプレイブックなどを用意することで、多くの対応を自動化できるようにしている。
将来的にはSIEMと統合へ
XDR製品が市場に出始めた頃は、自社製品のみでXDRを完結するシングルベンダー型と、自社製品とサードパーティー製品を連携させることで仕組みを構築するオープン型に分かれていたが、現在では、多くのベンダーがオープン型にかじを切っている。3社もオープン型のXDRを提供しており、連携するサードパーティー製品の拡充を進めている。トレンドマイクロの大田原エキスパートは「お客様が既に利用している製品があるので、そうした製品を活用していくという点でも、他社製品との連携は重視している」と説明した。
トレンドマイクロ
自社製品で固めた場合と、サードパーティー製品を用いた場合では、検知力に差が出るのか。トレンドマイクロの大田原エキスパートとパロアルトネットワークスの室井部長は、自社の製品で固めたほうが検知力が向上するのに加えて、運用も容易になることからXDRとしてより高い効果を発揮できるとした。シスコの平岡氏は、サードパーティー製品でも検知力に違いは出ないとしたものの、同じベンダーで複数の製品を購入した際に、割引などの特典が得られるといったビジネス面でのメリットがあることを紹介した。SB C&Sの竹石セキュリティエヴァンジェリストは「どちらがよい悪いではなく、プロダクトの特性やベンダーの考え方で違ってくる」と総括した。
SB C&S
ログなどのデータを収集・分析してセキュリティーインシデントを発見するツールとしては、以前からSIEM(Security Information and Event Management)が存在する。最近では、シスコがSIEM大手の米Splunk(スプランク)を買収、パロアルトネットワークスも米IBMからSIEM製品「QRadar SaaS」を買収することを発表している。XDRとSIEMのすみ分けについて、パロアルトネットワークスの室井部長は「双方はとても近しいソリューションと言えるが、SIEMのユースケースはセキュリティーだけに限られていないなど、現状ではすみ分けができている」と述べた。シスコの平岡氏は「スプランクを買収した際に、たくさんの議論をした。企業の方針や業界の規制に対応するために、ログをため続けて調査をしたいという面に軸足を置く場合はSIEMを、セキュリティーの迅速な検知・応答を重視する場合はXDRが向いている」と語った。XDR製品が市場に出始めた頃、一部のベンダーからは「SIEMに代わる製品」という声もあったが、現状では、ユーザー企業のニーズや目的に合わせて、併用を含めた柔軟な提案が必要となるだろう。なお将来的なSIEMとXDRの関係については、パネリストの3氏は「統合が進む」と分析。既にパロアルトネットワークスでは、XDRを次世代SIEMのコンポーネントの一部として提供しているという。
パロアルトネットワークス
国内企業の利用も増加傾向
新しいセキュリティー対策であるXDRだが、国内企業での利用は増加傾向にある。シスコは、従業員数5000人以下の企業での採用が多いことを明らかにし、情報システム部門が限られた人数の中でセキュリティー運用を効率化するためにXDRを活用するケースが増えているとした。パロアルトネットワークスは、従業員数5000人以上の企業で検討されるケースが多いとし、ログを自動分析するXDRの特徴が支持される傾向があるとした。トレンドマイクロは、サプライチェーンセキュリティーの強化の流れが加速する中で、高いセキュリティー要件が求められるものの、リソースが少ないという企業がXDRによりセキュリティーを強化するケースが出てきているなどの傾向があるとした。
また、トレンドマイクロの大田原エキスパートは、米国の調査会社Enterprise Strategy Group(エンタープライズストラテジーグループ)のレポートで、XDRの導入によるログの収集から分析・対応までの自動化は、正社員8人分の稼働に相当するとの調査結果があったことを紹介。セキュリティー人材が不足する中で、XDRの需要が拡大していくとの見方を示した。
今後、XDR市場はどのように成長していくのだろうか。トレンドマイクロの大田原エキスパートが紹介した米Gartner(ガートナー)の調査によると、現時点でXDRを利用しているユーザー企業は5%に満たないものの、28年末までには30%のユーザー企業が導入すると予測されている。「日本も数年遅れるが、同じ傾向になる」と述べた。シスコの平岡氏は、XDRの利用が加速することで、その運用を支援するMDRサービスの需要が拡大すると説明。グローバルでは、XDRとともにMDRサービスを採用する企業が多いとした。国内ではセキュリティー人材不足が深刻化しており、マネージドセキュリティーサービスの需要が高いことから、XDRの普及させる上では、MDRサービスの提供もかぎとなるだろう。
セミナーでは、シスコの「Cisco XDR」、トレンドマイクロの「Trend Vision One」、パロアルトネットワークスの「Cortex」と、3社が提供するXDR関連製品の紹介が行われた。各社に共通するのが、プラットフォーム製品として提供することで、運用を容易にしている点だ。その中で、AIや脅威インテリジェンスなど自社の強みによる差別化を図る考えを示した。
XDRの提案については、パロアルトネットワークスの室井部長は「エンドポイントとネットワークで違うパートナーが運用していたりするなど、考えなければならないことが多いソリューションでもある」と指摘。パートナーとベンダーが協力して、導入していく必要性を訴えた。
サイバー攻撃の巧妙化による被害が拡大する中で、ユーザー企業にはこれまで以上にセキュリティー対策の強化が求められている。しかし、クラウドの活用による攻撃対象領域の拡大、セキュリティー人材不足、導入するセキュリティーツールの増加による運用負荷の増大といった課題があるのが現実だ。こうした課題を解決する一つの手段としてXDRには高いニーズが見込まれる。セミナーに登壇した3社以外のセキュリティーベンダーもXDR関連製品に力を入れている。こうした状況からXDRは、販売パートナーにとっても大きなビジネスチャンスがある商材だろう。
