EDR と XDR の違いについて
2023 年 3 月 30 日 Carlos Arnal 著
サイバーセキュリティソリューションは、かつては基本的な調査、検出のためのテクノロジでしたが、今やリアルタイムの検出とレスポンスを可能にする、振る舞い分析のソリューションへと進化しています。しかし、真に効果的なソリューションとして機能するためには、あるインシデントを検知した際、それ単独では無害に見えても、情報を相関付けて、コンテキストの中で全体像を把握した結果、早急に対応しなければならないことが判明するような、異常な振る舞いに対しても対処できる必要があります。
「検知とレスポンス」という言葉は、広い攻撃対象領域における脅威に対して、高い可視性と識別能力を有し、より効率的なレスポンスの実現を目指しているテクノロジ全般を指しています。それに加えて EDR と XDR という用語自体が類似しているため、混乱を招く可能性があります。
EDR と XDR
この 2 つのソリューションの主な違いは、XDR は、EDR が基本となっているものの、その機能を拡張し、実情に合わせて進化させたソリューションであるということです。さらに詳しく見ていくと、主な違いは以下のような点です。
1- データ収集:
EDR では、組織の内外を問わず、エンドポイントやその通信相手との間で発生するアクティビティのタイプやアクティビティの量を含んだテレメトリを収集します。また、エンドポイントとの間でやり取りされるデータやファイルの種類の情報も収集しています。一方 XDR は、より多くのソースからデータを収集します。ネットワークトラフィックや ID 関連のアクティビティなどの他のソースと相互参照することで、EDR ソリューションからのテレメトリを補完し、そのデータを関連付け、より広いコンテキストを提示します。
2- データ分析:
EDR の場合、エンドポイントデータは EDR 分析エンジンに送られ、異常な振る舞いを検出し、それを攻撃の指標(IoA)にマッピングして、既知のタイプの悪意のあるアクティビティが存在する可能性を示します。XDR は、環境から他のデータを収集することで、検出した悪意のあるアクティビティの性質と発生源を、信頼性のあるレベルで特定することができ、それによって誤検出を減らし、信頼性と精度を向上させることができます。
3- 脅威の検出と対応:
EDR テクノロジは、人工知能(AI)、機械学習(ML)、高度なファイル解析を用いてデバイスの振る舞いを分析し、高度な脅威やマルウェアを特定します。また、セキュリティアラートの送信、ネットワークからのマシンの隔離、潜在的な脅威の除去・終了などのアクションを伴う自動レスポンスメカニズムを備えています。一方 XDR テクノロジは、異なるセキュリティ製品で監視されたアクティビティをクロスドメインでコリレーションすることで、脅威のコンテキストを提供し、スコアを付け、IoC(セキュリティ侵害の痕跡情報)となり得る悪意のあるシナリオを検出することで、MTTD(平均検出時間)を短縮し、脅威の影響、深刻度、範囲を迅速に減らします。また XDR は、エンドポイントとネットワークのジョイントレスポンス、エンドポイントの隔離、インシデントに関連する外部 IP アドレスのブロックなど、クロスドメインなオーケストレーションレスポンスをネイティブで実現します。
EDR と XDR:どちらがより顧客のニーズに適切か
EDR と XDR が共通のユースケースをカバーしていることは事実ですが、両者は異なり、それぞれ特定のニーズに対応しています。MSP は、これらのソリューションのどちらかを採用したり、お客様に推奨したりすることを検討する際に、お客様の現在の状況などを把握し、ニーズに最も適した選択肢を提示する必要があります。そこで考慮すべき項目は以下の通りです。
- IT インフラストラクチャ:
まずは、どのアセットを保護するべきかを判断します。XDR ソリューションが最適なのは、スタッフが限られており、自動化されたツールが不足している中堅企業です。リソースが不足している場合、検知結果の選別、アラートの管理、複数のコンソールへのアクセスも手作業で行わなければならず、これらの情報を収集してコンテキストを整理し、脅威に直面したときにとるべき行動を判断する時間が長くかかります。 - セキュリティに関する知識:
EDR および XDR ソリューションの効果的な導入と管理には、セキュリティと脅威のハンティングに関する経験だけでなく、ある程度の専門知識が必要です。企業が MSP を利用している場合には、関係するテクノロジを導入できるスタッフがいるため、問題とならないかもしれません。採用すべきソリューションについて MSP がアドバイスをする際には、お客様のニーズ、サイバー攻撃に対する認識、企業が導入しているスタッフの人数や、インフラストラクチャに基づいた提案をする必要があります。
以上のような基準をもとに、MSP は、ソリューションやサービスの導入を組織に指導することができます。ウォッチガードでは、EDR ツール、XDR ツールを WatchGuard ThreatSync でパートナーに提供し、パートナーが付加価値サービスを提供するために使用したり、エンドカスタマーに推奨したりできるようにしています。両ソリューションは、検出とレスポンスにおける高度な自動化を可能にしますが、ThreatSync はこれらの機能を拡張し、複数のセキュリティソリューション間で検出とレスポンスのオーケストレーションを行うことでさらに進化しています。