XDRを効果的に運用するためのポイントとは？～EPPとの違いから考える～｜トレンドマイクロ

XDR運用のポイント、EPPとの違いとは？

組織のITインフラ全体におけるサイバー攻撃の状況を捉え、調査から対応までを可能にするXDR。サイバー攻撃の被害を回避、最小化するソリューションとして日本でも導入が徐々に広がっています。しかし導入にあたっては、導入後の「運用」も考慮することが重要です。適切な方法で継続的に運用ができなければ、期待するXDRの効果は得られません。XDR運用に必要な点を理解し、自組織のセキュリティ体制に最適な運用方法、そしてソリューションを選択することが必要です。

本記事では、XDR運用のポイントをEPPとの違いから解説し、持続可能な運用を実現するため導入時に確認しておきたい点を紹介します。

まず、XDR運用のポイントです。XDR運用は、セキュリティ担当者様にとって最も馴染み深いと思われるセキュリティソリューションであるEPPの運用とは別物であることを理解することが必要です。

EPP（Endpoint Protection Platform）は、マルウェア感染などセキュリティ脅威からエンドポイントを保護するためのソリューションです。EPPでは、事前の防御（検出、隔離）に焦点が当てられ、様々なセキュリティ脅威を検出するための技術が搭載されています。検出技術はソリューションにより異なるものの、パターンマッチングのほか、機械学習型検索、ふるまい検知（挙動監視）、サンドボックス分析があり、複数の検出技術を組み合わせることで、検出精度を高めるアプローチが採用されています。EPP運用で重要になるのは、EPPが防御したログを確認することです。防御状況に応じて、EPPの設定を変更したり、また技術、組織面で対策や運用の見直しを図ります。

一方、XDR（Extended Detection and Response）は、サイバー攻撃が組織に侵入した後、被害を最小化するための検知（Detection）、対処（Response）を行うソリューションです。XDRは、エンドポイントやネットワーク、クラウドなど様々なセキュリティレイヤーのからのデータを統合、相関分析し、攻撃の全体像を可視化しアラートとして提供することで、その後の迅速な調査、対応を支援します。ここで重要になるのは、調査と対応の実行です。
XDRの運用とはつまり、アラート調査、対応を適切に実行することであり、このためには、脅威や攻撃手法、脆弱性、実行されたコマンドの理解など、さまざまなセキュリティの知見や経験が必要になります。また、常に変わりゆく攻撃手口に備え、知識やスキルを常にアップデートすることも欠かせません。

高度なセキュリティの知見や経験が求めれられるXDRを効果的かつ持続可能なかたちで運用していくためには、自組織のセキュリティ体制で可能な運用方法、ソリューションを選定することが重要です。そこで着目すべきが、XDR運用をサポートする機能やサービス、そしてその質です。

図：EPPとXDRの運用は別物
XDRは、「検知」した情報をもとに調査し、その結果を受けて適切な「対応」を実行するためのソリューション。その運用には、脅威や攻撃手法、脆弱性、実行されたコマンドの理解など、さまざまなセキュリティの専門的な知見や経験が求められる

XDR運用で失敗しないための確認事項

XDR運用のための専門知見や経験が限られる、またスキルレベルがチーム内で標準化されてない体制の場合、XDR自体の性能にくわえ、利用可能なサポートの内容と質を確かめることをおすすめします。日々の運用からインシデントレスポンスに至るまで、ソリューション機能やサービスの両面で包括的なサポートを受けられることが重要です。

日常的な運用においては、調査や対処をサポートする機能が搭載されているXDRが有用です。例えば、セキュリティアラートの詳細について疑問がある場合、XDRの管理画面上からそのままチャット形式で質問、回答を得ることができれば、運用者の知見や経験が限られていたとしても、迅速な調査、対応が可能になります。とくに生成AIのような最新技術を搭載した機能であれば、より精度の高いサポートが得られるため、運用はより迅速、効率化します。また、万一のインシデント発生時のサポートも重要です。提供範囲や内容が、自組織の要件に適うものか質問してください。サポートはとくに事前評価は難しい面があります。これまでの対応実績（読者の皆様が国内組織であれば、日本での対応実績も確認してください）、そして継続的に質の高い評価が得られているか確認してください。

＜XDR運用の鍵はサポートの質、失敗しないための確認事項＞

① 調査や対処を支援する（精度の高い）機能がXDRで提供されているか
日々の運用において、疑問や不明を迅速に解決できることが不可欠になります。発生したセキュリティアラートの詳細を解説したり、サイバー攻撃者が使用する不正操作の意味を説明するなど、セキュリティの知見や経験が浅い担当者をサポートする機能が検討中のXDRに搭載されているか確認することをおすすめします。その際には、機能に利用されいてる技術にも着目ください。精度の高い洞察、サポートが得られる生成系AIの技術が利用されている機能が理想です。

② 導入からインシデント対応まで一貫したサポートの提供が可能か
とくにインシデント発生時にどのようなサポートを受けられるか、また担当者のスタッフのレベル、そして日本国内での対応実績などを確認することをおすすめします。

③ 豊富な実績と継続的な外部評価を有する高品質のサポートを提供しているか
品質面の確認も重要です。サポートの実際の対応実績やお客様評価、そしてそれらが継続的に高い水準で提供されているか、客観的なデータや外部評価に基づき判断することをおすすめします。

＜トレンドマイクロの例＞

図：XDR機能を搭載した「Trend Vision One」で提供する運用のサポート機能「Trend Vision One Companion」
生成系AI搭載し、専門的なセキュリティアラートについて、迅速かつ効率的な調査、対処をチャット形式でインタラクティブにサポート

図：トレンドマイクロが提供するサポートサービス「Trend Service One Complete^※」のイメージ
導入からインシデント対応まで一貫したサポートを提供する

※ Trend Micro Service One Completeは次の製品を利用されるお客さまが対象です。Deep Discovery Inspector（Virtual Appliance含む）, Trend Micro Apex Central, Trend Micro Apex One, Trend Micro Apex One (Mac), Trend Micro Apex One SaaS, Trend Micro Cloud One – Workload Security, Trend Micro Deep Security, Trend Micro Smart Protection Server, Trend Micro Vision One, Trend Micro XDR Endpoint Sensor