ネットワールドは11月14日、15日に年次イベント「Networld X 2023」を開催した。初日はオンラインイベントとして、20以上のウェビナーを配信。続く2日目は、新宿住友ビル 三角広場にてオフラインイベントとして行われ、同社のパートナー企業による展示やセミナーが催された。

  • NetworldX 2023の様子

本稿では、15日に登壇したクラウドストライク シニア・チャネルソリューションアーキテクト 春日井智博氏によるセッション「今さら聞けないXDRって何?」の模様を振り返る。同氏は、セキュリティ業界で近年注目されているソリューション「XDR(Extended Detection and Response)」の機能について、昨今の業界動向と合わせて説明した。

レポートから見る脅威動向は?

冒頭、春日井氏はクラウドストライクが今年発表した「2023年版グローバル脅威レポート(2023 CrowdStrike Global Threat Report)」の内容を示し、近年の脅威動向について解説した。

同レポートによれば、2022年には新たに33のサイバー攻撃組織が特定されたほか、検知された攻撃のうち、7割以上がマルウェアフリーだったという。アンチウイルスソフトなどの目をかいくぐる同手法は年々増加しており、かつ初期侵入してから攻撃までの速度もわずか84分と素早い。2021年の同データが98分だったことに比べると、攻撃者からの脅威が企業をむしばむスピードも年々加速していることが見て取れる。

「相手の攻撃が高度化していることを考えると、(システムを)自社内のセキュリティソリューション全体で守っていくことが必要です。だから、従来型のEDR(Endpoint Detection and Response)以上に、XDRが求められるようになっているのです」(春日井氏)

XDRとは? EDRやSIEMとの違いにも言及

EDRは、攻撃を受けることを前提に、初期侵入を検知して情報を収集・状況を把握し、原因の駆除や復旧を行うセキュリティ対策だ。これにより、未知のマルウェアからの攻撃への素早い対応を行ってきた。しかし上述の通り、攻撃者の侵入から攻撃までの速度が上がっているため、今はEDRよりも迅速な対処が求められるようになっている。

そこで登場したのがXDRだ。XDRでは、エンドポイントだけに限らず、サーバやネットワーク、電子メールなど、さまざまな領域からデータを収集。それらを相関分析することで、効率良く対応すべきアクションの優先順位付けを行う。

「XDRでは、セキュリティドメインにおいて、自社だけではなくサードパーティ上にあるデータを巻き込んでリアルタイムに脅威を検知することができます。有事の際にはいち早く調査をして、レスポンスを迅速化することが求められます」(春日井氏)

  • XDRの定義

複数のセキュリティドメインからデータを統合して管理するソリューションとしては、XDRの他にSIEM(Security Information and Event Management)がある。ここで春日井氏はその違いと特徴について説明した。

「SIEMにおいては、ログの蓄積が重視されている側面がありますが、XDRはセキュリティ専門に構築されたソリューションです。専門知識が組み込まれているので、ただデータ収集をするだけではなくアラートの生成やその後のアクションも提供することができます」(春日井氏)

XDRの中にも、アーキテクチャごとに2つの形式が存在する。1つは「オープン/ハイブリッドXDR」で、1つのベンダーだけではなく複数ベンダーのソリューションのデータが収集されるオープンなアーキテクチャだ。コンセプトが違う製品でも統合管理ができることにメリットがある。

もう一方は「ネイティブXDR」と呼ばれており、単一ベンダーが提供するXDRプラットフォームと、その他の製品を組み合わせたソリューションだ。1社のセキュリティ製品を利用している場合には開発や導入の難易度が下がる。

  • クラウドストライク シニア・チャネルソリューションアーキテクト 春日井智博氏

オープン/ハイブリッドと、ネイティブXDRの“いいとこ取り”

クラウドストライクでは、XDRソリューションの「Falcon Insight XDR」を提供しているが、春日井氏は「オープン/ハイブリッドと、ネイティブの“いいとこ取り”ができる」と説明した。

  • クラウドストライクが提供するXDRについて

Falcon Insight XDRは同社が提供しているソリューションの管理はもちろん、その他のソリューションに関しても他社とのアライアンスにより対応を可能にしている。管理画面や調査フローを一元化することで、管理・運用しやすい環境を提供しているそうだ。複数ソリューションから収集されたデータをダッシュボードで可視化することで、いち早い脅威の特定や対処のサポートを実現するという。

春日井氏は最後に、「個々のプロダクトを導入するだけではなくて、導入後の運用も踏まえたプラットフォームを選択することが大事」と聴講者にアドバイスし、講演を締めくくった。