XDR評価のための基礎知識―「ハイブリッドXDR」を選ぶ理由
新しいソリューションを適切に評価、選定することは、セキュリティ責任者や担当者にとって難しい問題です。その一つがXDRといえます。XDRを適切に評価するためにおさえておきたいポイントを紹介します。
評価のために押さえておきたいXDRの3つのアプローチ
XDR (Extended Detection and Response)とは、サイバー攻撃がユーザー環境に万が一侵入した際に、攻撃の痕跡を検知、可視化し、インシデントの調査、原因特定、対処を行う機能です。
自社のビジネスや取引先へのサイバー攻撃被害を抑制するための有効なソリューションとして、導入が広がりつつあります。様々なベンダからXDRが提供されていますが、すべてが同じアプローチを採用しているわけではありません。アプローチの違い、そのメリット、デメリットを理解したうえで、自社に適切なXDRを選ぶことが重要です。
そのためにまず抑えておきたいのが、XDRの種類です。XDRは、アーキテクチャの違いで以下の3つに分類されます。
ネイティブXDRは、単一ベンダ独自のセキュリティセンサーをテレメトリ収集の基盤とするXDRのアプローチです。XDRを提供するベンダ自身のセンサーであることから、共通フォーマットでテレメトリが収集されるため、詳細な相関分析ができるというメリットがあります。一方で、相関分析に利用できるソースは、XDRを提供するベンダのポートフォリオに依存するため、既存サードパーティ製品の活用や将来的な拡張が難しいというデメリットがあります。
オープンXDRは、サードパーティのセンサーでテレメトリを収集、分析を行うXDRのアプローチです。単一ベンダに依拠するネイティブXDRに対して、ベンダの制約なしに様々なテレメトリを広範囲に収集ができるという点がメリットです。一方で、テレメトリのフォーマットと情報の精度がベンダごとに異なるため、詳細な相関分析が難しい点がデメリットになります。ベンダやそこで提供されるテレメトリにもよりますが、多くの場合は、ハッシュ値やURLなど単純なデータの相関分析に留まると考えられます。そのため、XDRによる攻撃の全体像の分析において、詳細な可視性を提供することが難しいことが想定されます。
こうしたネイティブXDRとオープンXDR、それぞれの制約を最小限に抑えながら、両者のメリットを組み合わせ、高精度の検知と対処を提供しようとするアプローチが、ハイブリッドXDRです。ネイティブセンサーのテレメトリによる詳細な相関分析能力に加えて、オープンセンサーのテレメトリで拡張性を補足する理想的なXDRアプローチの構成です。
以上のことから、XDRを評価する際には、まず「ハイブリッドXDR」かどうかが重要になります。そのうえで、注目したいのが「ネイティブXDR」のカバー範囲です。
「ハイブリッドXDR」をうたうソリューションのなかには、ネイティブセンサーで対応しているのはEDR/エンドポイントのみなど、セキュリティレイヤの一部しかカバーしていないケースもあります。これには注意が必要です。EDRといったセキュリティレイヤの一部のみがネイティブで、他をサードパーティに依存する場合、詳細な分析や調査対応の多くはエンドポイントに限定されてしまうためです。多様化している侵入経路や感染拡大を試みる内部活動を行う高度なサイバー攻撃への対処のためにXDRに必要なのは、エンドポイントに限定せずに、主要なセキュリティレイヤにおいて検知、調査、対応の一連の機能を提供できる機能です。
以上のことから、「ハイブリッドXDR」では、ネイティブセンサーが主要なセキュリティレイヤのテレメトリを収集していることが不可欠であり、このアプローチを実現するXDRを選定することが重要になります。
目指すべきは、既存セキュリティを活かす「ハイブリッドXDR」
以上、XDRの評価の際のポイントを、アーキテクチャの観点から解説してきました。
最後のポイントとして、相関分析の核となるレイヤはネイティブセンサーですが、これを補足するのがオープンセンサーになります。このオープンセンサーについては、豊富なオープンセンサーとの統合により、ユーザー環境ですでに利用されているシステム/セキュリティ製品を有効活用できること、そして将来的なさらなる拡張に対応できるアプローチが取られていることが重要です。ネイティブセンサーで収集した主要なレイヤにおけるテレメトリと、オープンセンサーのテレメトリをバランスよく構成できる「ハイブリッドXDR」が、より洗練されたイベントの検知や既存製品による防御力強化につながります。
<XDRの選択で押さえておくべきポイント>
1. ネイティブセンサーとオープンセンサーがバランスよく構成された「ハイブリッドXDR」である
- ネイティブXDRのテレメトリによる詳細な相関分析能力に加えて、オープンXDRのテレメトリで拡張性を補足するXDRの理想的なアプローチ。
2. 「ハイブリッドXDR」のネイティブセンサーは、主要なセキュリティレイヤをカバーしている
- 特定のセキュリティレイヤに依存していない。とくにネイティブセンサーに必須とされるエンドポイント、クラウドワークロード、メール、ネットワークの4つのセキュリティレイヤをカバーしている。
3. 「ハイブリッドXDR」では、豊富なオープンセンサーとの統合を実現するアプローチが取られている
- 既存のシステム/セキュリティ製品を有効活用できる、また将来的な拡張に対応できるアプローチが取られている。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)