XDRとは
　Extended Detection and Responseの略。エンドポイント、ネットワーク、メール、クラウドなどに設置したセキュリティ製品の情報を統合・分析、脅威をいち早く検知して対応までを行うセキュリティ対策の概念。


　セキュリティ市場では、エンドポイントやネットワーク、クラウドなど幅広い環境から情報を収集・分析してセキュリティ対策を行うXDRの存在感が高まっている。各セキュリティベンダーも、XDR関連の製品を投入し、競争が激化している。一方で、新しい概念であることから、ベンダーにより解釈が異なるなどユーザーが混乱する状況となっている面もある。本連載では、有識者の声やベンダーの取り組みに焦点を当て、XDRの現在地と将来を展望する。第1回目は、ガートナージャパンの矢野薫・シニアディレクターアナリストにXDRの概念や市場展望を聞いた。
（岩田晃久）

ユーザーとベンダーの間の不整合

――ガートナーでは、XDRをどのように定義しているのでしょうか。

　XDRは、脅威の検知とインシデント対応のためにセキュリティ運用を統合化し、コンテキスト（イベントの文脈や背景）を見ていくというセキュリティ戦略です。新しい製品を提示したわけではなく、セキュリティ対策の方向性を示したものとなります。
 
　エンドポイントのEDR（Endpoint Detection and Response）、ネットワークのNDR（Network Detection and Response）、IDのITDR（Identity Threat Detection and Response）など現在は、検知や対応を目的としたツールが細分化していますが、単独で分析を深めていくのではなく、統合して現実的な運用に落とし込み、できる限りコンテキストを広く見ていくのがXDRです。

　XDRを戦略として捉えるか、製品として捉えるかで、意味合いは大きく変わってきます。セキュリティベンダーは戦略ではなく製品に落とし込んでいるため、製品ベースの話となっていることが大半です。そのため、XDRをセキュリティ戦略として捉えているユーザー企業と、製品として捉えているベンダーとの間における不整合や分断が、すでに国内でも確認できています。

――EDRなど他の検知・対応ツールとの違いを教えてください。

　EDRなどは、ファクト（事象）を収集し、アラートを出すものです。しかし、多くの企業はそのファクトの収集とアラート発報に続くオペレーションが十分にできているとはいえない状況です。

　XDRは、ファクトを収集するだけではなく、コンテキストを見て、自社にとってのリスクを明らかにし、その対処を自動で行います。この部分を理解せずにXDRに取り組むと、ただツールを統合しファクトを収集するだけになってしまいます。

――欧米では、XDRは浸透しているのでしょうか。

　概念への理解という面では、国内より進んでいます。欧米の場合、企業にセキュリティの専任者がいるケースが多いため、SIEM（Security Information and Event Management）やSOAR（Security Orchestration Automation and Response）、スレットインテリジェンスなどを用いた統合的なセキュリティ運用が現実的になっており、これはXDRの概念とも一致する活動です。セキュリティベンダーが提供するXDR製品を利用する企業もありますが、XDRを実現するための一つの手段としているだけであって、すべての企業がXDR製品の利用にまい進しているという状況ではありません。

大量のデータを保持できる仕組みを

――ベンダーは、単独でXDRを提供する場合と協業で提供するケースが分かれています。

　XDRの目的として、部分最適によって利用する製品が多様化したことで、運用の負荷が増えているのを解消するという面もあります。そのため、ネットワークやエンドポイントなど幅広く製品を展開しているベンダーは、XDRに近い場所にいるといえますし、ソリューション展開にも積極的です。一方で、EDRなど一部の製品を提供するベンダーは、自社に足りない部分を補うためにエコシステムの構築を進めています。この場合、協業するベンダーを増やし続けないと、限定された範囲でおさまってしまうためスケールしていかないという課題があります。

　加えて、XDRはデータを大量に保持して、そのデータを分析していくことになるため、ベンダーは、データレイクなど大量のデータを保持できる仕組みを持つことが重要です。この部分は、SIEMに近いイメージだと思います。今後は、SIEMを提供しているベンダーも独自のXDR戦略を立てて、ソリューションを展開すると考えられます。

――国内企業はベストオブブリードの考え方を重視しています。この傾向は、XDRの浸透にどういった影響があるのでしょうか。

　これまでベストオブブリードの考えでセキュリティを構築してきましたが、ある意味、XDRはそこを否定しなければ実現できません。国内企業は自分たちがやってきたことを否定するのが苦手ですが、セキュリティ脅威への対応に向けて考えを改める必要があると言えます。また、国内企業の多くは、業務が停止してしまうという理由からパッチの適用や、脅威を検知したときの隔離といったことを後回しにする傾向にあります。XDRにより対処を自動化していくに当たっては、こうしたセキュリティ意識を変化させ運用プロセスを改善していくことも重要です。

　SIerをはじめとしたパートナーは、製品提供にとどまらず、本来であれば運用設計までかかわるべきであり、XDRを提案する際は、運用までアドバイスすることが大事ですし、ユーザーは、運用までを考えてからXDR製品を導入しなければなりません。