XDRとは
　Extended Detection and Responseの略。エンドポイント、ネットワーク、メール、クラウドなどに設置したセキュリティ製品の情報を統合・分析、脅威をいち早く検知して対応までを行うセキュリティ対策の概念。

　米Microsoft（マイクロソフト）は、XDR機能「Microsoft Defender XDR」（Defender XDR）を提供する。エンドポイントやアイデンティティー、メールといった自社のセキュリティー製品を連携させて、脅威をいち早く検知し、対応する。SIEM（Security Information and Event Management）製品「Microsoft Sentinel」（Sentinel）との統合で、他社セキュリティー製品のデータ分析が可能となるのに加え、XDRとSIEMの双方の運用を効率化できる点も特徴だ。日本マイクロソフトの藤本浩司・セキュリティビジネス本部部長は「XDRはセキュリティー対策のスタンダードになると考えている」と語り、幅広い企業への導入を目指している。
（岩田晃久）

脅威インテリジェンスを活用

　Defender XDRは、「Microsoft 365 E5」などを利用するユーザー向けに提供されている機能。エンドポイントセキュリティー「Microsoft Defender for Endpoint」、メールとコラボレーションツールを保護する「Microsoft Defender for Office 365」、アイデンティティーセキュリティー「Microsoft Entra ID P2」、クラウドサービスの監視など行う「Microsoft Defender for Cloud Apps」といった、同社のセキュリティー製品の連携によって、脅威やリスクの全体像を把握、高度な脅威ハンティングを実現する。
 
　藤本部長は「1日に78兆件を超えるシグナルを追跡して得たデータと、約1万人のセキュリティー専門家の知見によりつくられた脅威インテリジェンスを基にDefender XDRを構成する製品を提供しているのが、ベースとしての強みだ」と語る。脅威インテリジェンスとDefender XDRを組み合わせることで、攻撃者の動きを先に自動検出しブロックする「Threat Intelligence Tracking via Adaptive Networks」という技術も発表しており、急増するAIを使った攻撃への対応を強化している。今後も、AIや脅威インテリジェンスを積極的に活用した対策をDefender XDRに取り込んでいくとする。

SIEMで他社製品と連携

　他社のセキュリティー製品やクラウド製品との連携は、Sentinelとの統合により実現する。マイクロソフトは、自社セキュリティー製品とISVやMSSP（マネージドセキュリティーサービス事業者）のソリューションを統合するエコシステム「Microsoft Intelligent Security Association」を立ち上げており、約340社と連携。XDR関連では、Sentinelとのコネクターなどによる連携が拡大しているという。
 
　藤本部長は「これまでは、XDRとSIEMの二つを運用することに課題があった」と指摘。Defender XDRのデータをSentinelに取り込むことで、SIEMに保管してあるデータと、インシデント、アラート、ぜい弱性といったセキュリティーデータの両方を管理ツール「Microsoft Defenderポータル」上で表示して、管理できるようにした。これにより、SOC（Security Operation Center）の運用者は、効率的なインシデント対応が可能になるとする。

　さらに、生成AIアシスタント「Microsoft Security Copilot」を利用し、数時間～数日を要していた膨大なデータの分析を大幅に短縮できるほか、自動化機能などを用いて、多くのタスクを自動化できるという。藤本部長は「高度な知識を持つアナリストは優先事項に集中するなど作業の効率化、専門化が図れる」と強調する。

パートナーが自社導入してノウハウを提案

　顧客の傾向について藤本部長は、「大企業を中心にXDRへの関心が高まっており、導入が増えている。中堅企業においても、ハイブリッド環境、マルチクラウド環境が一般化し、複数のセキュリティー製品による対策の相談が増加している。これらは、XDR導入を意識したものではないが、結果的にXDRの相談になっている」と述べる。

　国内企業の多くは、保護するポイントごとに最適なメーカーの製品を選択する“ベストオブブリード”の構成でセキュリティー対策を行うことが多い。しかし、サイバー攻撃の増加、セキュリティー人材不足などを背景に、利用する製品を統合する“ベストオブスイート”にかじを切るケースも出てきており、その中でXDRの需要が拡大する見込みだという。

　販売面について藤本部長は「Defender XDRは複数のサービスが高度に連携して実現する。お客様が目指すセキュリティー対策のTo Be像を一緒に設定して、それに向けたステップをつくり販売している」と説明。パートナー戦略では、パートナーにMicrosoft 365 E5およびSentinelを自社導入してもらい、そのノウハウを顧客に提案する活動を行っている。さらに、パートナーと共に、Sentinelを活用したマネージドセキュリティーサービスの提供、Security Copilot導入サービスなどの提案を行える体制づくりも進めている。