XDRとSIEMは何が違うのか？ 具体的な機能と製品選定ポイントを解説（2/2 ページ）

[櫻井秀光，Trellix]

注目が高まるXDRの可能性とその選定ポイント

　XDRは、従来の個別のセキュリティ製品では対処が困難なランサムウェアなどの脅威に効果的に対抗するための新しいアプローチです。XDRは、エンドポイントに限らず、認証やネットワーク、クラウドなど、複数のポイントに設置されたセキュリティ対策製品からのアラートを総合的に分析し、レスポンスの自動化までを一元的に実施するソリューションです。この点で、エンドポイント関連の活動の分析に特化しているEDRとは異なります。XDRはそれに加えて、広範囲な活動を分析することが可能です。

　また、XDRはSIEM（Security Information and Event Management）とも異なるアプローチを取ります。SIEMは複数の製品のアラートやログを集約し、サーチすることに長けていますが、XDRはそれに加えて、高精度な検知や分析機能、さらにはインシデント発生後の対応を自動化する機能まで備えています。

　XDRへの関心が高まる背景には、既存のセキュリティ製品では解決できない脅威への対処や、SIEMの複雑な運用や先進的な脅威への対応不足といった課題があります。しかし現状、XDRの導入企業はまだ少数です。導入している企業も、同一メーカーのセキュリティ製品のログを一元的に管理できる程度の段階にとどまっています。全てのセキュリティ製品を同一メーカーでそろえることがほぼ不可能な状況の中で、XDRのコンセプトを十分に実現できている企業はほとんど存在していないと言えます。　XDRは理想的な解決策に思えますが、選定する際には考慮すべきポイントが3つあります。

1. 脅威インテリジェンス：　先進的な脅威を的確に検知し、その特性を理解して適切に対処するためには、XDRベンダーが広範囲のセンサーネットワークを有し、良質な脅威インテリジェンスを持っていることが不可欠です。これによって、シグネチャだけでは対応しきれない脅威にも対処可能になります
2. オーケストレーション：　効率的な運用を実現するためには、自社のセキュリティ製品だけでなく、サードパーティーのセキュリティ製品とも柔軟に連携できる能力が必要です。この能力を持つベンダーは意外と少ないため、注意が必要です
3. オートメーション：　限られた人員でサイバーセキュリティを担っている現実を考えると、レスポンスを含むプロセスの自動化を効果的に進める機能の提供が求められます

　現在、多数のベンダーがXDRを提供しています。これらの重要なポイントを理解し、数多く存在する選択肢の中から適切なXDRソリューションを選択することが、進化し続けるランサムウェアなどの脅威への対策においても非常に重要で、効果的なセキュリティ対策の鍵となります。

　最後にXDRの導入を進める際には、目標を数値化することが重要です。具体的には、現行のSOC運用の課題を抽出し、XDRの導入による効果を試算するためにMTTD／MTTR（平均検出時間／平均修復時間）で目標を設定します。これによって、運用を改善し、評価することが数値的目標の達成につながります。セキュリティ対策はしばしば「コスト」のイメージがありますが、XDR導入による数値的メリットを事前に明確にしておくことで、組織の上層部に対して価値や成果を示しやすくなります。