XDRとは
　Extended Detection and Responseの略。エンドポイント、ネットワーク、メール、クラウドなどに設置したセキュリティ製品の情報を統合・分析、脅威をいち早く検知して対応までを行うセキュリティ対策の概念。


　XDRを提唱したのは、米Palo Alto Networks（パロアルトネットワークス）の創業者で最高技術責任者（CTO）を務めるニア・ズーク氏だ。そのため、同社は、いち早くXDRへの取り組みを開始、市場での存在感を高めている。現在、脅威阻止、検出と対応、運用を支援するプラットフォーム「Cortex」の一機能として「Cortex XDR」を提供。自社製品に限らず、幅広い製品やサービスのデータを取り込める「オープンなプラットフォーム」（日本法人Cortex営業本部の室井俊彦・SEマネージャー）であることなどが支持され、大手企業を中心に利用が加速している。
（岩田晃久）

中小企業では「シンプルなXDR」に期待

　ズークCTOがXDRを提唱した2018年は、EDR（Endpoint Detection and Response）の普及が始まった時期である。EDRの場合、エンドポイントで検知、対応を行うが、サイバー攻撃の範囲が拡大する中、ネットワークや認証などを含めて幅広く対策を講じる必要があることから、XDRへの取り組みを開始した。

　Cortex XDRは、同社のセキュリティ製品だけではなく、米Fortinet（フォーティネット）や米Cisco Systems（シスコシステムズ）といった競合他社の製品に加え、「Amazon Web Services」や「Microsoft Azure」といったクラウド、認証基盤などのデータをCortex XDRのプラットフォームに取り込み、AIなどを活用して、リアルタイムで分析し脅威を検出する。

　国内企業では、複数のベンダーのセキュリティ製品を導入しているケースが多いが、製品を入れ替えずにXDRを実現できる。同社の次世代ファイアウォール（FW）やクラウドセキュリティ「Prisma Cloud」といった製品のデータを連携させると、アプリケーションの情報などを含めたより高度な分析が可能となる。
 
　セキュリティの取り組みが進んでいる企業では、エンドポイント、ネットワーク、クラウド、認証など、さまざまなデータを取り込んで分析するなど、XDRへの需要は高まっている。一方、中小企業での活用について、室井SEマネージャーは「エンドポイントとネットワークを一つにまとめるといったシンプルなXDRが緩やかに進んでいくのではないか」と期待する。

複数のアラートを一つのインシデントに

　EDRをはじめとした検知や対応を目的とするツールを導入した際に課題となるのが、アラートへの対処だ。室井SEマネージャーは「セキュリティ機器の増加や機械学習による曖昧な検知が行われているため、アラートは増えているが、これ自体は悪いことではない」としながらも、「人が見ていくとなると、“アラート疲れ”につながる」と話す。
 

　Cortex XDRでは、複数のアラートを関連付けて、一つのインシデントとしてまとめることができる。対応においても、インシデントの種類により「担当者にメールを送る」「端末を隔離する」といった作業を自動化する機能も提供しており、運用の効率化につなげられる。

　大手企業を中心に、SIEM（Security Information and Event Management）などを活用してログを一定期間、保存しているものの、ただ保存するだけで活用していない場合や、ルールが整備できておらず分析ができていないといったケースは少なくない。そのため、最近は、SIEMをCortex XDRに置き換える案件が出てきているという。

　また、Cortex XDRのエージェントを端末に入れることで、どのようなアプリケーションがインストールされているのか、パッチが適用できているのかといった情報や、ユーザーの行動分析が行えることから、サイバーハイジーン対策としても活用できるようになっている。

運用を理解した提案で適用範囲の拡大を

　EDRが普及した背景には、運用監視を行うMDR（Managed Detection and Response）サービスの存在が大きい。XDRにおいても、MDRサービスへのニーズは高く、Cortex XDRを用いたMDRサービスを提供するパートナーが出てきている。

　パロアルトネットワークスは、自社でもMDRサービスを提供しているものの、国内では、MDRサービスの対応はパートナーに立て付けを任せているという。室井SEマネージャーは「パートナーによって、できる運用とできない運用があるため、（MDRは）パートナーごとに付加価値を出せる部分だと考えている」と見解を示す。

　XDRの導入を検討するのは、企業のセキュリティ運用を担うSOCのアナリストなどが多いことから、パートナーはセキュリティ運用を理解して提案しなければならない。同社は、プロダクト以外にも、脅威ハンティングなどのトレーニングを提供し、パートナーを支援している。

　室井SEマネージャーは「XDRは複雑で提案が難しいというイメージが強いが、例えば、エンドポイントセキュリティのリプレースやネットワークのトラフィック分析といった部分からスタートし、徐々に適用範囲を広げていくのが有効だ」とアドバイスする。