2023 年 3 月 2 日 Carlos Arnal 著

ここ数年、eXtended Detection and Response（XDR）という言葉が話題になっていますが、業界のバズワードであるにもかかわらず、その実態が掴みづらいという点があります。2020 年にこの言葉を初めて定義したガートナー社によると、XDR とは、複数のセキュリティ製品を首尾一貫したセキュリティ運用システムにネイティブに統合する、ベンダ固有の脅威検出およびインシデントレスポンスツールのことを指します。

現在、セキュリティ専門家の 62% が XDR という言葉を「よく理解している」と答えており、これは 2020 年のわずか 24% から大きく増加したことになります。これ自体は明確な前進と言えるものの、最近の ESG の調査によると、29% は未だ XDR テクノロジについて「ある程度知っている」「あまり知らない」「まったく知らない」と回答しています。

XDR についてまだ理解が不明瞭な場合のため、今回はその概要について説明いたします。XDR テクノロジとは、多様化する攻撃対象領域を保護し、脅威の検知がより困難となっている現状に対処するために、新しいレベルのセキュリティテレメトリ集計、コリレーション、分析の必要性にレスポンスするソリューションです。XDR の機能を組織のインフラストラクチャに統合することで、多様なソースやアセットからのセキュリティイベントを分析・相関させ、どのようなアクティビティが行われているのかを判断することができます。XDR は、単一のセキュリティプラットフォームからナレッジを共有し、セキュリティ担当者の作業負担を減らす、迅速かつ自動化されたレスポンスを実現します。

ウォッチガードの ThreatSync 初期のバージョンにも、すでにコリレーション機能は存在していました。Host Sensor と Firebox からのイベントデータを分析し、悪意のある振る舞いを特定する、クラウドベースのエンジンです。しかし、旧来の Threat Detection and Response (TDR) ソリューションは、エンドポイントのテレメトリを使用して悪意のあるファイルを検出し、クラウドで開始されたアクションに応答することによって飲み、ネットワークイベントとエンドポイント上の個々のファイルやプロセスのコリレーションをしていました。現在、ThreatSync は、エンドポイントおよびネットワークセキュリティソリューションを単一のプラットフォーム上に統合することにより、XDR ソリューションへと進化し、異なる保護レイヤからの脅威検出情報のコリレーションを行い、ツールのレスポンスをオーケストレーションすることができます。

XDR の仕組み

XDR は、異なるテクノロジを組み合わせることで、別々に運用する場合よりも正確な検知を行ってセキュリティを強化します。コンピュータ、サーバ、ファイアウォールの製品横断的な検出結果を集約的に収集・表示することで、セキュリティ担当者に脅威検出のコンテキストを提供し、高度な脅威へのレスポンスと阻止を迅速に行い、セキュリティ脅威がもたらすリスクを大幅に低下させることを可能にします。また、これらのデータを単一のクラウドコンソールに取り込むことで、複数のコンソールの使い方を覚える必要がなくなります。このように、クロスドメインのデータを利用することで、保護されたデバイスと保護されていないデバイスの両方で脅威を検出し、境界やエンドポイントでは見えない高度な脅威を阻止することが可能です。

さらに、クロスドメインとイベントコリレーションを使用することで、アクティビティを異なるセキュリティ製品ごとに監視することができ、単独では無害に見えても、コンテキストを考慮すると侵害の指標（IoC）となる悪意のあるシナリオの分類と検出が容易になり、平均検出時間（MTTD）を短縮して、起こりうる影響を迅速に抑制し、インシデントの深刻度と範囲を限定することが可能になります。

レスポンスの自動化とスケジューリングにより、アナリストは、あらかじめ定義された基準に一致する検知に対してのみ行動することで、反復的な作業や手作業から解放されます。そして、アナリストが介入することなく、プロセスの終了、ファイルの削除、エンドポイントの隔離、パブリック IP のブロックが可能になります。

MSP による XDR の使用例と利点

XDR を使用することで、マネージドサービスプロバイダ（MSP）が顧客のセキュリティを保護する際に大きな利点が得られます。例えば、高度な持続的脅威（APT）が発生した場合、ネットワークセキュリティとエンドポイントとの連携が大きな差を生むことがあります。今日では、ファイルがほとんど瞬時にダウンロードされることが求められているため、ファイアウォールは未知のファイルのダウンロードを許可する一方で、解析のためにサンドボックスに送る必要があります。解析後、ファイルが悪意あるものであることが判明した場合、 XDR はそのファイルをエンドポイントと関連付け、デバイスから削除します。

同様に、ブラウザや電子メールクライアントなど、それ自体は有害ではなくとも、悪意のある接続を行う可能性のあるコンピュータ上で実行されているプロセスについて、XDR では、ファイアウォールでブロックされた接続からデータを取得し、エンドポイント上の個々のアプリケーションと関連付けることができます。これにより、ユーザは新しい悪意のあるアプリケーションを検出したり、さらなる分析が必要な不審な振る舞いをするグッドウェアを発見したりすることができます。

上記の使用例は MSP が顧客のネットワークをこのツールによってどのように保護できるかを説明するものですが、XDR を使用することで MSP が得られる利点は他にもあります。

• 統合された脅威の可視化
  XDR は、脅威データを単一のインターフェースに統合することによって、より高い精度と検出を提供します。さまざまな製品でクロス検出を収集および可視化することにより、MSP はよりアジャイルになり、検出に関するコンテキスト情報を取得して、高度な脅威に対してより効率的にレスポンスするために必要な情報を提供します。
• 検出までの平均時間（MTTD）の短縮
  IBM のデータによると、2022 年に企業がセキュリティインシデントを特定するのにかかった時間は平均 207 日です。一方 XDR テクノロジを導入した組織は、特定とレスポンス時間において大きく向上しています。 XDR を導入した組織は、XDR を導入しなかった組織に比べ、平均約 1 か月（29 日）インシデントライフサイクルを短縮しました。
• 統合された脅威レスポンスオーケストレーション
  XDR は、幅広いレスポンスアクションを提供し、MSP がより効率的になるよう支援し、単一のコンソールからネットワーク全体にわたる脅威レスポンスをスケジュール化および自動化することを可能にします。MTTR を短縮することで、リスクを低減し、レスポンスの速度と精度を向上させます。企業にとっては、検出時間を短縮し、迅速なレスポンスアクションを行うことが、脅威に適切にレスポンスし、大きな被害を防止し、攻撃者によってシステムを支配されてしまう事態を防ぐために重要です。
• 設定が不要
  XDR ソリューションの中には、ツールのインストール、設定、セットアップの際に高度な知識を必要とするものがあります。しかし同じく XDR ソリューションである WatchGuard ThreatSync は、Unified Security Platform フレームワークの一部であり、適応と学習を簡素化する統一された直感的なユーザ体験を提供し、また複数の製品が統合されているため、ソリューションの設定や統合に伴うコストを削減することができます。

XDR は中堅規模の MSP に最適で、サイバーセキュリティの専門家を必要とせず、自動化された方法でセキュリティ機能の向上を可能にします。また、可視性を向上させ、特定のシナリオにおける検出能力を高め、攻撃へのレスポンスと修復を簡素化します。ウォッチガードの ThreatSync ソリューションを使用すれば、XDR ベースのセキュリティアプローチの導入支援が可能です。