注目を集めるXDR、その選定ポイントを考える――XDR・EPP・セキュリティサービスをワンベンダーで提供する「ESET PROTECT MDR」

ますます拡大するランサムウェア被害

企業を取り巻くサイバーセキュリティ上の脅威はますます増大しており、なかでもランサムウェア攻撃による被害の拡大が著しい。企業・団体などにおけるランサムウェア被害として、2022年上半期に都道府県警察から警察庁に報告のあった件数は、2020年下半期の実に5.4倍にも及んでいる。そして、ランサムウェア被害に関連した調査・復旧費用に1,000万円以上の費用を要したものが55％を占めており、約半数以上のケースで被害が甚大になっていることがうかがえる。

このためすべての企業には早急なランサムウェア対策が求められているわけだが、ここで問題となってくるのが「人」である。IPAの調査によると、人材の「量」が不足していると回答した割合は76％にも達しており、特に専門的な知識とスキルが求められてくるセキュリティ人材を自社で抱えるのは相当に困難であると言えるだろう。

実際、ランサムウェア対策においても決め手となるEDRに関するテクノロジーを最大限に活用できるようなチームをトレーニングするには、数ヶ月の時間を要するとされているのである。

では、高まる脅威に対して、企業はどのようなセキュリティ対策を行えばよいのだろうか。その回答を得るべく、イーセットジャパンシニアマーケティングマネージャー＆セキュリティエバンジェリスト曽根禎行氏と、キヤノンマーケティングジャパン（以下、キヤノンMJ）井上弘紀氏に話を聞いた。

課題となるセキュリティ運用の体制づくり

まず、前述したようなサイバーセキュリティにおける脅威動向について曽根氏は次のようにコメントする。

「脅威の頻度が高まっているのに加えて、被害を受けた際のリスクが拡大している傾向にあります。それにも関わらず、対策に必要となる人材が不足しているため、各種セキュリティツールを導入したとしてもそれらを運用するためのスキルの習得に時間がかかってしまい、すぐには実装できないというのが実状ではないでしょうか。このため今後ますます脅威が高まっていくなかで、多くの企業が適切な対応ができない状況にあると言えるでしょう」(曽根氏)

ここで忘れてはならないのは、サイバー攻撃を受ける企業というのは、決して特定の業種やある程度以上の規模の企業に限られているわけではないという点だ。攻撃者は業種業態や規模を問わず対策が甘い企業を狙ってくる。このため、たとえ小規模な企業であったとしても、十分な対策が欠かせないのである。

なぜXDRに注目が集まっているのか

このような状況からも現在ニーズが高まっているのが、あらゆる企業・組織にとって最適なセキュリティ対策を可能とするXDRだ。

XDRソリューションの選定ポイントについて考える前に、井上氏は「予防は治療に勝る」と強調する。

「たとえば新型コロナウイルスは、感染後に重篤化してICUでの治療を受けるような事態に陥る前に、予防的なワクチン接種を行うことの重要性が叫ばれています。当社ではサイバーセキュリティにおいて、予防に重点を置いており、さらに攻撃を受けた場合の対応にも耐えうるようなサイバーセキュリティ対策が重要だと考えています。そして攻撃による侵入を想定した対策としてXDRソリューションがあるのです」（井上氏）

サイバー攻撃からの防衛の流れは、主に検知、封じ込め、調査、復旧という4ステップからなる。エンドポイント保護（以下、EPP）による防御をすり抜けた感染や外部からの不正アクセスを検知し、その後、攻撃を受けた端末の隔離などマルウェア感染拡大の抑え込みを行い、サイバー攻撃の内容や被害状況を把握、そして最後に感染端末からのマルウェア除去を実施するのである。

「EPPだけを導入していた場合、検知以降の対応が困難だったり時間がかかったりして不安が生じます。それを解消するのがXDRです。サイバー攻撃を受けると、時間が進むに連れて被害が拡大してしまいます。そこで、攻撃を受けた際には迅速な対応がカギとなってくるわけですが、そのためにも早期発見により、致命傷を回避し、復旧コストも抑制することが重要になってきます。ここにEDR/XDRの導入効果があります」（井上氏）

自社運用にまつわる数々の課題とは

このように、サイバー攻撃による侵入を想定した対策としてXDRは非常に有効なツールである。ただし、XDRを導入するに当たっては、XDRツールの選定や、その運用方法をどうするかという点について十分に考慮する必要がある。

まず1つのポイントとなるのが、XDRを自社で運用するのか、それとも外部のセキュリティサービスベンダーなどにアウトソースするかである。

ある調査によると、50％の企業がセキュリティツールを導入していても十分に使いこなせていないと回答しており、これはXDRツールにおいても十分に当てはまると考えられる。つまり、自社が有するナレッジやスキルのみでXDRを運用しても、十分に使いこなすのは極めて困難な可能性があるのだ。

「最大のポイントは、いかにして運用要員のスキルを確保するかです。既存の情シスメンバーのセキュリティ知識やスキルに依存するとなると、普段から脅威検知などに関する業務を行っているわけではないため難しいでしょう。だからといって新たな人材を採用するとなれば、募集をかけること自体は難しくはないものの、かなり限られた人材市場ですので、自社に合った人材がすぐに見つからない可能性があるという問題があります。そして幸いにもそうした人材を採用できたとしても、ずっと確保し続けるためには待遇面などさまざまな配慮が必要になってくるはずです」（曽根氏）

脅威のモニタリング活動を自社運用する場合には、夜間や祝日の対応をどうするかというのも大きな課題となる。攻撃者は防御が甘くなる時間を狙ってくるので、24時間365日の体制で防御する必要があるのだ。

「さらに、将来に向けた絶え間ないセキュリティ改善に関しても、自社運用の場合には、既存メンバーのスキルとモチベーションに応じてどれだけ最適な改善が行えるか疑問が残ります。対してセキュリティ運用サービスであれば、常に複数のクライアントを見ているので最新の攻撃のトレンドに応じた新しい改善計画をサービスに反映することができるのです。多角的な側面から照らし合わせてみても、XDRを導入するならばセキュリティ運用サービスを活用するのが最適だと言えるでしょう」（曽根氏）

ヨーロッパを代表するサイバーセキュリティベンダー

数あるXDRツールの中でも多くの優れた特長を備え、日本企業での導入に適しているのがESETのXDRソリューションだ。

ESET社は、ヨーロッパを代表するサイバーセキュリティベンダーであり、日本の法人顧客も中小企業を含め約40万社に納入した実績を有する。202ヶ国でビジネスを展開しており、グローバルで1億1千万以上のデバイス、10億以上のインターネットユーザーを保護している。

その日本法人であるイーセットジャパンは、2017年、キヤノンMJとイーセットジャパンの共同出資により設立。ESET製品のサポートサービスについては、日経コンピュータ顧客満足度調査10年連続1位※を誇るキヤノンMJを通じて提供している。 ※日経コンピュータ 2022年9月1日号顧客満足度調査 2022-2023 セキュリティー対策製品部門1位

「ESETの製品サービスは多くの第三者機関から高く評価されており、さまざまなアワードも受賞しているので安心してご利用いただけます。また、セキュリティリサーチ部門についても、世界的に見てかなり高いレベルであると自負しています」（曽根氏）

改めて「XDR」の定義を問う

ここでXDRの定義について考えてみよう。実は「XDR」にはさまざまな解釈がある。

まず「XDRとはEDRを拡張したものである」という点については解釈そのものに大きなズレはないものの、それ以外の要素についてはベンダーごとに少しずつ異なった独自の定義がなされているのに加え、中立であるアナリストの間でも異なる定義がなされているのである。

たとえばフォレスター社は、“XDRは、エンドポイントの範囲を超えて、ネットワーク機器、メールサーバ、クラウドベースサービスなどからもデータを収集し、セキュリティ防御側がより多くの脅威を発見し対応できるようにする次世代型EDRである。"と定義している。さらにXDRを分類する定義として、“ネイティブ（XDR）戦略は、同じベンダーのツールとの統合に重点を置いています。“（原文ママ）としている。

「ESETではこのネイティブ（XDR）戦略をとっており、今後はハイブリッドな方向へと向かおうとしているところです」（曽根氏）

マネージドサービスXDRソリューション「ESET PROTECT MDR」

そんなESETが提供するのが、マネージドサービスXDRソリューションである「ESET PROTECT MDR」だ。これはエンドポイント保護とXDR統合ツールに加えて、さらにセキュリティサービスをセットにしたソリューションである。セキュリティサービスはキヤノンMJグループのサポート部門と、長年の実績があるESETのチームが連携して提供しており、専任のセキュリティエンジニアによる24時間365日の体制が整えられている。

「EPPとXDRツール、さらにセキュリティサービスをワンベンダーで提供できるのがESET PROTECT MDRの大きな特長です」（井上氏）

もし異なるベンダーだとしたら、連携して開発するのは困難であり不具合が多発する可能性もあるうえ管理も煩雑になってくるだろう。しかしESET PROTECT MDRであれば、EPPとXDRを1つのソリューションで提供できるため、そうした問題から解放されるのである。

XDRツールとEPPの関係性もポイントに

XDR製品を選定する際には、XDRツールとEPPの関係性についても十分に考慮する必要がある。

EPPとDR（Detection and Response）が別々のベンダーだった場合、ツール内で他社ツールとの連携の仕組みがあったとしても開発工数やスキル、ナレッジが必要になってくる。対して同一ベンダーであれば、その工数やリスクを圧倒的に抑えることができる。

「セキュリティサービス提供範囲については、国内ではDRベンダーとSOCベンダーが連携する場合が多いです。ただし検知運用にはツールを使うので、ベンダー自身が提供するサービスの方が問題発生時の対処が迅速になってくると言えるでしょう。また、複数のツールを組み合わせるとノウハウや知識の習得に工数がかかるため、運用の費用もかさんできます」（曽根氏）

こうしたことからも、まず、DRメーカー自身が提供するサービスであることにメリットがある。加えてもう1つ、脅威の検知にはDRの範囲だけではなくエンドポイントも含めて運用する必要が出てくる。しかしながら、異なるメーカーの製品を組み合わせると責任分界点が曖昧になるなどの問題も発生する。そこで、エンドポイント保護とXDRのどちらも同じベンダーのツールを使い、さらにそのベンダーが提供するセキュリティサービスを使うESET PROTECT MDRこそが最適だと言えるのである。

また、サービスの要員の観点から見ても、ESET PROTECT MDRのセキュリティサービスはすべて日本人が窓口を担当しており、ESETのメーカーサポートチームもキヤノンMJのサポートチームも高い顧客満足度を提供する運用体制が整えられている。

ESET PROTECT MDRのセキュリティサービス

ESET PROTECT MDRで提供されるセキュリティサービスは、複雑化するセキュリティ製品の運用導入支援やテクニカルサポートを行うものとなっている。EDRのみを導入した場合に比べてインシデント発生時の初動対応、脅威モニタリング、チューニングなどの運用負荷が大幅に軽減され、冒頭で触れたセキュリティ運用面の課題を解決してくれる。

さらにプレミアムサポートでは、国内の日本人エンジニアから24時間365日、日本語によるサポートを優先的に受けることができる。

定期的に提示される各種レポートは、いずれも顧客のセキュリティの長期的な向上に役立つ内容となっており、すべてセキュリティエンジニアが監修している。

「ESET PROTECT MDRのセキュリティサービスを利用することで、インシデント発生時の初動対応や脅威モニタリング、初期最適化といった課題に対して、セキュリティエンジニアがその豊富な知識と経験をフルに活かして解決へと導きます。このためお客様には安心して通常業務に集中していただけることでしょう」（井上氏）