セキュリティエンジニア８人分の価値を発揮！？「XDR」のコストメリット｜トレンドマイクロ

コストメリット①：XDRによる自動化は年間8人分の価値

考察にあたり、まず、組織には各レイヤにセキュリティ製品が導入されており、十分に調査体制が整っていることを前提とします。

標的型攻撃や最近のランサムウェア攻撃は、下図に示す通り、ネットワーク機器（VPNなど）の脆弱性を悪用して端末を攻撃し、組織内ネットワークに侵入します。端末感染後は検知を回避するため、レジストリの変更やセキュリティソフトの無効化などを行った上で感染端末をボットコンピュータ化し、内部探索を進めて横感染を広め、最終目的の情報窃取や攻撃の実行に至ります。

図：標的型攻撃や最近のランサムウェア攻撃で見られる高度な攻撃シナリオの例（図はランサムウェア攻撃の例）

XDRを導入していない場合、各レイヤのセキュリティ製品から各ログなどの情報を収集し、手動で分析して攻撃の兆候などを発見・調査し、影響範囲を可視化・対処する必要があります。すべて手動での対応となるため、膨大なログの調査に時間がかかり、脅威を見逃す可能性や被害が拡大してしまう可能性があります。

XDRを導入している場合、各セキュリティ製品からのログやテレメトリがデータレイクに収集され、相関分析が自動で行われます。メールの情報、端末内のプロセスフロー、横展開や外部通信など攻撃の全体像が可視化されます。収集・分析・検知・可視化の自動化、一部の対処までを自動化することで、被害を最小限に抑えることが可能です。

XDRは投資に見合った効果を生み出すのかー。導入検討時に組織でよく問われるこの質問への回答を探る目的で、IT関連の調査会社ESGは、トレンドマイクロと共同で研究調査を実施し、その結果をレポート^※として公表しています。
※所属組織において、検知と対応の戦略、プロセス、テクノロジーに責任を持つセキュリティとITの専門家を対象として、包括的な調査を実施し、その中からXDRソリューションと同様の技術を活用している500の組織（複数製品からのセキュリティデータを自動的に集約し、相関を検出して分析している組織）を集計対象としています。さらに、セキュリティデータの集約度合いと自動化度合いの2軸で対象を分けています。本稿では便宜上、この2軸の度合いが高い組織（＝XDRと同様の手法を採用している組織）を「XDRを導入している組織」としてこれ以降表現しています。

XDRを導入している組織に対し、「自組織の自動化システムを正社員の労働量（FTE: full-time equivalent）で置き換えると何人が必要か」を質問したところ、回答の平均は「8人」でした。

経済産業省が発行しているレポート「我が国におけるIT人材の動向（令和3年、経済産業省）」によると、システムエンジニアのオファー年収（給与水準）は約700万円となっています。約700万円×8人分、つまりXDRは年間で約5,600万円分と同等の価値という計算をすることができます。

図：XDRによる検知と対応の自動化は正社員8人分（約5,600万円/年）に値する
＜出典：ESG-The XDR Payoff: Better Security Posture＞

コストメリット②：XDRにより年間インシデント対応費用は3,200万円減少

同調査において、「組織においてデータ侵害や攻撃が過去12か月でどれくらい成功しているか」を聞いたところ、XDR導入組織では平均6.49件だったのに対し、未導入組織においては14.27件でした。つまり、XDR導入組織においては、データ侵害や攻撃の発生件数（＝インシデント件数）が、XDRを導入していない組織と比較し、約54%減少しているということです。攻撃のカテゴリごと（インサイダーによる脅威が原因でのデータ損失、外部の攻撃者が原因のデータ損失、ランサムウェアやマルウェア、DDoS攻撃などの攻撃が原因でデータアクセスの停止やIT障害が発生）で見ても、いずれも攻撃/侵害された件数が少ない結果となっています。

図：XDR導入組織は年間インシデント数が54%減少
＜出典：ESG-The XDR Payoff: Better Security Posture＞

上記の数字を、インシデント対応費用に置き換えて考えてみましょう。

インシデントが発生した際には、初動対応・フォレンジック調査を行ったうえで、対外的対応や復旧および再発防止策の対応が必要になりますが、ここでは便宜上、初動対応・フォレンジック調査にかかる費用をインシデント対応費用として考えます。また、インシデントにより生じた損失や損害についても費用に含まないものとします。

IPA（情報処理推進機構）が発行しているセキュリティ関連の費用可視化ツール「NANBOK」で設定している計算値を引用して計算します。従業員300人以上の企業の場合、初動対応にかかる費用は1,250,000円となっています。また、フォレンジック調査にかかる費用は、仮に「標的型攻撃による機密情報の窃取」とした場合、2,900,000円です。初動対応とフォレンジック調査で合計4,150,000円がインシデント１件あたりの対応費用とここでは考えてみます。

仮に発生したインシデント全てを外部に調査委託した場合、XDR未導入における年間のインシデント対応費用は59,220,500円（年間のインシデント発生件数14.27×１件のインシデント対応費用4,150,000円）となります。これに対し、XDR導入組織における年間インシデント対応費用は26,933,500円(年間のインシデント発生件数6.49×1件のインシデント対応費用4,150,000円)となり、その差は32,287,000円と算出できます。つまり、XDRを導入している組織においては、年間のインシデント対応費用が約3200万円少なくて済む、という算出をすることができます。

図：XDRにより年間のインシデント対応費用が3,200万円減少すると計算できる
＜出典：ESG-The XDR Payoff: Better Security Posture＞

まとめ

本稿では、XDRのコストメリットについて考察してきました。記事内で算出した年間の人件費やインシデント対応費用については、あくまで参考情報をもとにした単純計算となるため、企業や組織におけるシステムの規模間や体制などによって、実際のメリットは異なります。しかしながら、調査結果のとおり、XDRによる高度な攻撃の検知と対応の自動化は、正社員約8人分の労働量と同等の価値を組織にもたらします。また、XDRの導入により侵害/攻撃などインシデントの発生件数が少なくなるため、インシデント対応費用の減少につながります。

アタックサーフェス（攻撃対象領域）の拡大や攻撃の進化は今後も続いていきます。セキュリティ専門人材の不足は業界の慢性課題とも言われており、仮に8人分の投資費用を用意したとしても、実際に確保していくことは難しく、また多くの企業にとっては重い負担となります。XDRはこうした課題を技術で解決し、組織に大きな恩恵をもたらすことが期待できます。

本稿で考察したXDRのコストメリットが、皆さまのセキュリティ対策検討の一助となれば幸いです。

XDRの機能概要についてはこちら
調査レポートの詳細はこちら

用語解説
ランサムウェアとは（ランサムウェアの概要）
XDR(Extended Detection and Response)とは