2023 年 6 月 30 日 Carlos Arnal 著

マネージドサービスプロバイダ（MSP）に必要なものは、高度な脅威からお客さまを守るための備えです。そのためには、効果的な検知を行い、潜在的なインシデントへのプロアクティブな対応を可能にするソリューション導入でセキュリティ態勢を改善し、さまざまなデータソースを追跡する必要があります。

そのためには、サイバーセキュリティの脅威に対する自動化、オーケストレーション、対応を支援する SOAR や XDR のようなテクノロジが役に立ちます。どちらのソリューションも機能面では類似していますが、具体的に MSP にとってどのような役に立つのか評価する際に、理解しておくべき大きな違いがあります。

XDR と SOAR の 4 つの主な違い

SOAR プラットフォームは、基本的に SIEM ソリューションの拡張です。これらのツールにオーケストレーション、自動化、レスポンス機能を追加し、包括的な脅威インテリジェンスプラットフォームを実現するように設計されています。SOAR は、アナリストが最もよく使用するワークフローを自動化し、異なるセキュリティツール間の通信を可能にするセキュリティミドルウェアの実装を支援します。また、インシデントが発生した場合、取るべき手順を明確にします。

一方で XDR は、脅威の検出、調査、および対応を改善するために、最低ラインとしてエンドポイントとネットワークのデータを組み合わせ、SOAR ソリューションによる追加コストを回避しながら、攻撃を可能な限り早期に軽減するための高度な検出と自動対応を可能にします。エンドポイントセキュリティ、ネットワークセキュリティ、または認証サービスなどのセキュリティツールが追加され、それらの間の通信が相関され、検出がコンテキスト化されることで、可視性が向上し、それにともなって利用可能な XDR 機能も増えます。この統合の結果、脅威の検出と対応を合わせた単一の統合セキュリティプラットフォームが実現し、複数の独立したソリューションを管理するための時間、労力、複雑性が軽減されます。

さて、上記 2 つのテクノロジは類似していますが、以下のような大きな違いもあります。

焦点

SOAR ソリューションは、サイバーセキュリティのインシデント対応プロセスのオーケストレーションと自動化に焦点を当てています。このオーケストレーションの目的は、さまざまなツールやプロセスの統合に加え、手作業や反復作業を自動化することによって、セキュリティチームの効率化と合理化を図ることです。

対照的に XDR の主な強みの 1 つは、同じベンダのさまざまな製品を統合することで、悪意のある挙動を検出し、脅威の検出と応答時間を短縮できる点です。さまざまなセキュリティツールを統合することで、セキュリティデータが関連付けられ、コンテキスト化されるため、別々のソリューションで生成される検出結果よりも信頼性の高い結果が得られます。アラートの数は少なくなり、対応できる可能性も高くなるため、進行中の攻撃に対し修復するまでの時間が短縮されます。

目的

SOAR の主な目的は、自動化されたワークフローによる対応アクションの合理化と調整であるのに対し、XDR はエンドポイント、ネットワーク、クラウドなど複数の攻撃ベクトルによる高度な脅威の検知と対応に重点を置いています。XDR は、より効果的な検知のために、非常に高い可視性と統合されたデータ相関を提供することを目的としています。この意味で SOAR とは異なり、疑わしいパターンや潜在的なリスクを検出することで、インシデントになる前にサイバーセキュリティの脅威を特定して対応します。

データソース

SOAR プラットフォームでは通常、互いに切り離された多数のツールが関与しており、ツール間の統合が非常に複雑です。これは、可視性の問題や、優先度の低い事項の検知、さらには誤検知に繋がる場合があります。SOAR ツールが正しく設定され検出されるためには、定期的にチューニングを行う必要がありますが、昨今のサイバーセキュリティ分野の人材不足と専門知識の不足によって、多くの企業にはその余裕がありません。一方 XDR は、セキュリティ製品の統合を通じてこれらのツールやサイロを接続し、脅威の検出と対応のためにはるかに高度なデータ分析を提供し、環境に対する高い可視性と、改善されたスケーラビリティを提供することで、この問題に対処可能です。

機能/自動化

SOAR は、インシデント対応ワークフローの自動化に重点を置いていますが、事前定義されたアクションの実行、タスクの割り当て、インシデント管理など、より包括的であることを目指しています。一方 XDR は高度な自動化を含んではいますが、高度な分析とリアルタイムのデータ相関によるプロアクティブな脅威検知に重点を置いており、フォレンジック調査とインシデント対応機能を提供します。

MSP にとって XDR の利点

ウォッチガードの ThreatSync のような XDR ソリューションは、SOAR が扱うユースケースの多くをカバーしますが、さらにシンプルでスケーラブル、かつコストのかからない手法です。ThreatSync は、MSP に、サイバーセキュリティの脅威に対する高い可視性とコンテキストに基づくインサイトを提供することで、また顧客のセキュリティ態勢を改善し、異なる製品からのテレメトリを相互参照することで高度な脅威検知をさらに向上させ、サイバー攻撃への自動・手動による対応を可能にします。ThreatSync は、ウォッチガードの統合型セキュリティプラットフォームに含まれています。そのためパートナーにもそのお客さまにも、追加コストはかかりません。結果として、セキュリティインシデントの検知と対応時間が短縮され、コストも削減されます。

XDR について、またそれが MSP にもたらす利点については、以下もご参照ください。
XDR：その仕組みと MSP による活用法
EDR と XDR の違いについて
What is the difference between XDR and SIEM? （英語）