サイバー攻撃に打ち勝つ最新セキュリティ
<サイバー攻撃に打ち勝つ最新セキュリティ> XDR編 ガートナージャパン 製品ではなく戦略
2023/04/14 09:00
週刊BCN 2023年04月10日vol.1964掲載
XDRとは
Extended Detection and Responseの略。エンドポイント、ネットワーク、メール、クラウドなどに設置したセキュリティ製品の情報を統合・分析、脅威をいち早く検知して対応までを行うセキュリティ対策の概念。
セキュリティ市場では、エンドポイントやネットワーク、クラウドなど幅広い環境から情報を収集・分析してセキュリティ対策を行うXDRの存在感が高まっている。各セキュリティベンダーも、XDR関連の製品を投入し、競争が激化している。一方で、新しい概念であることから、ベンダーにより解釈が異なるなどユーザーが混乱する状況となっている面もある。本連載では、有識者の声やベンダーの取り組みに焦点を当て、XDRの現在地と将来を展望する。第1回目は、ガートナージャパンの矢野薫・シニアディレクターアナリストにXDRの概念や市場展望を聞いた。
(岩田晃久)
XDRは、脅威の検知とインシデント対応のためにセキュリティ運用を統合化し、コンテキスト(イベントの文脈や背景)を見ていくというセキュリティ戦略です。新しい製品を提示したわけではなく、セキュリティ対策の方向性を示したものとなります。
矢野 薫
シニアディレクターアナリスト
エンドポイントのEDR(Endpoint Detection and Response)、ネットワークのNDR(Network Detection and Response)、IDのITDR(Identity Threat Detection and Response)など現在は、検知や対応を目的としたツールが細分化していますが、単独で分析を深めていくのではなく、統合して現実的な運用に落とし込み、できる限りコンテキストを広く見ていくのがXDRです。
XDRを戦略として捉えるか、製品として捉えるかで、意味合いは大きく変わってきます。セキュリティベンダーは戦略ではなく製品に落とし込んでいるため、製品ベースの話となっていることが大半です。そのため、XDRをセキュリティ戦略として捉えているユーザー企業と、製品として捉えているベンダーとの間における不整合や分断が、すでに国内でも確認できています。
――EDRなど他の検知・対応ツールとの違いを教えてください。
EDRなどは、ファクト(事象)を収集し、アラートを出すものです。しかし、多くの企業はそのファクトの収集とアラート発報に続くオペレーションが十分にできているとはいえない状況です。
XDRは、ファクトを収集するだけではなく、コンテキストを見て、自社にとってのリスクを明らかにし、その対処を自動で行います。この部分を理解せずにXDRに取り組むと、ただツールを統合しファクトを収集するだけになってしまいます。
――欧米では、XDRは浸透しているのでしょうか。
概念への理解という面では、国内より進んでいます。欧米の場合、企業にセキュリティの専任者がいるケースが多いため、SIEM(Security Information and Event Management)やSOAR(Security Orchestration Automation and Response)、スレットインテリジェンスなどを用いた統合的なセキュリティ運用が現実的になっており、これはXDRの概念とも一致する活動です。セキュリティベンダーが提供するXDR製品を利用する企業もありますが、XDRを実現するための一つの手段としているだけであって、すべての企業がXDR製品の利用にまい進しているという状況ではありません。
Extended Detection and Responseの略。エンドポイント、ネットワーク、メール、クラウドなどに設置したセキュリティ製品の情報を統合・分析、脅威をいち早く検知して対応までを行うセキュリティ対策の概念。
セキュリティ市場では、エンドポイントやネットワーク、クラウドなど幅広い環境から情報を収集・分析してセキュリティ対策を行うXDRの存在感が高まっている。各セキュリティベンダーも、XDR関連の製品を投入し、競争が激化している。一方で、新しい概念であることから、ベンダーにより解釈が異なるなどユーザーが混乱する状況となっている面もある。本連載では、有識者の声やベンダーの取り組みに焦点を当て、XDRの現在地と将来を展望する。第1回目は、ガートナージャパンの矢野薫・シニアディレクターアナリストにXDRの概念や市場展望を聞いた。
(岩田晃久)
ユーザーとベンダーの間の不整合
――ガートナーでは、XDRをどのように定義しているのでしょうか。XDRは、脅威の検知とインシデント対応のためにセキュリティ運用を統合化し、コンテキスト(イベントの文脈や背景)を見ていくというセキュリティ戦略です。新しい製品を提示したわけではなく、セキュリティ対策の方向性を示したものとなります。
シニアディレクターアナリスト
エンドポイントのEDR(Endpoint Detection and Response)、ネットワークのNDR(Network Detection and Response)、IDのITDR(Identity Threat Detection and Response)など現在は、検知や対応を目的としたツールが細分化していますが、単独で分析を深めていくのではなく、統合して現実的な運用に落とし込み、できる限りコンテキストを広く見ていくのがXDRです。
XDRを戦略として捉えるか、製品として捉えるかで、意味合いは大きく変わってきます。セキュリティベンダーは戦略ではなく製品に落とし込んでいるため、製品ベースの話となっていることが大半です。そのため、XDRをセキュリティ戦略として捉えているユーザー企業と、製品として捉えているベンダーとの間における不整合や分断が、すでに国内でも確認できています。
――EDRなど他の検知・対応ツールとの違いを教えてください。
EDRなどは、ファクト(事象)を収集し、アラートを出すものです。しかし、多くの企業はそのファクトの収集とアラート発報に続くオペレーションが十分にできているとはいえない状況です。
XDRは、ファクトを収集するだけではなく、コンテキストを見て、自社にとってのリスクを明らかにし、その対処を自動で行います。この部分を理解せずにXDRに取り組むと、ただツールを統合しファクトを収集するだけになってしまいます。
――欧米では、XDRは浸透しているのでしょうか。
概念への理解という面では、国内より進んでいます。欧米の場合、企業にセキュリティの専任者がいるケースが多いため、SIEM(Security Information and Event Management)やSOAR(Security Orchestration Automation and Response)、スレットインテリジェンスなどを用いた統合的なセキュリティ運用が現実的になっており、これはXDRの概念とも一致する活動です。セキュリティベンダーが提供するXDR製品を利用する企業もありますが、XDRを実現するための一つの手段としているだけであって、すべての企業がXDR製品の利用にまい進しているという状況ではありません。
この記事の続き >>
- ユーザーとベンダーの間の不整合
- 大量のデータを保持できる仕組みを
続きは「週刊BCN+会員」のみ
ご覧になれます。
(登録無料:所要時間1分程度)
新規会員登録はこちら(登録無料) ログイン会員特典
- 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
- メールマガジンを毎日配信(土日祝をのぞく)
- イベント・セミナー情報の告知が可能(登録および更新)
SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。 - 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!
- 1
