EDRとXDRの比較

エンドポイントの数は組織全体で増加し続けており、ラップトップやワークステーションのような従来型エンドユーザー コンピューティング デバイスに限らず、多様なデバイスで構成されるようになっています。さらに、リモート ワークの増加によって、環境全体でさまざまなエンドポイントとエンドポイント間接続を保護し、監視する必要性が高まっています。エンドポイントは、攻撃者にとって依然として主要なエントリー ポイントであり、エンドポイント セキュリティ戦略は企業にとって不可欠となりました。アンチウイルス だけでは、高度なサイバー脅威からの防御には不十分になっています。

EDRとXDRについて: どのような相違点があるか?

エンドポイント ディテクション&レスポンス (EDR)と 拡張ディテクション&レスポンス (XDR)の各セキュリティ ソリューションは、脅威インテリジェンスとデータ分析を利用して必要なエンドポイント防御、脅威検出、調査、レスポンスを提供し、セキュリティ オペレーションの自動化を向上させます。市場では多くのエンドポイント セキュリティ製品を入手できますが、EDRを検討している場合は、XDRソリューションならセキュリティ チームがさらにどのようなメリットを得ることができるか、まず先に理解しておくことをお勧めします。以下に、EDRとXDRの違いについて解説します。

エンドポイント ディテクション&レスポンスとは

エンドポイント ディテクション&レスポンス(EDR)は、受動的なサービスから予防的なソリューションへとエンドポイント セキュリティを進展させるために役立ちます。EDRツールは、インシデント データ、エンリッチ化された情報、セキュリティ侵害インジケータ(IOC)への速やかなアクセスをセキュリティ チームに提供します。これらはすべて、エンドポイントでのセキュリティの監視において不可欠な要素です。ForresterはEDRを次のように定義しています。「検出、調査、レスポンスのためのテクノロジであり、エンドポイントからセキュリティ関連のテレメトリを収集し、自動検出を実行し、収集されたテレメトリに基づくアナリストの調査を支援し、影響を受けたエンドポイントでアナリストによるレスポンスを促進します。」

拡張ディテクション&レスポンスとは

従来のEDRツールはエンドポイント データのみに重点を置いていますが、XDRソリューションは、サイロ化されたセキュリティ ソリューションの統合を目的とし、すべてのデータ ソースにわたる保護、検出、レスポンスを提供します。XDRプラットフォームは、エンドポイント、ネットワーク、クラウド、サードパーティ データを統合して、保護を拡張し、ユーザーとエンティティの振る舞い分析(UEBA)と人工知能(AI)を活用してゼロデイ攻撃の検出におけるSIEMツールの既知の欠点に対処します。XDRは、2018年にパロアルトネットワークスのCTO、Nir Zukが最初に考案した用語です。 Forresterは、 「EDRは保護、検出、レスポンスを改善するための足掛かりである」と定義していますが、EDRの発展形は多数のツールのスイートに近いものになることを認めており、最終的にはXDRの機能に置き換えられて終焉を迎える(ほぼ消滅する)ことを示唆しています。

EDRとXDRの機能の比較

XDRはEDRと同じではありません. XDRは、より高度な新しいセキュリティ ソリューションであり、従来のEDRソリューションよりも堅牢な機能を提供して、エンドポイント セキュリティのレベルを高めます。EDRはエンドポイント攻撃に対して必要かつ効果的な保護を提供しますが、その保護対象はエンドポイント データから分析される攻撃のみに限られます。XDRはEDRの発展形であり、複数のテレメトリ ソースを分析してさまざまな攻撃手法を防御・検出し、個別のSIEM、UEBA、NDR、EDRツールに関連する機能を組み合わせることにより、エンドポイントを越えて保護を拡大します。XDRは、この豊富なデータを相関付けてつなぎ合わせ、単一の統合ユーザー インターフェイスに関連アラートをグループ化して、調査とレスポンスを簡素化します。

EDRツールでエンドポイント データのみに依存すると、脅威に対する可視性が限られ、検出漏れ、誤検知の増加、調査期間の長期化につながる可能性があります。

XDRソリューションは、エンドポイント データからあらゆるデータ ソースに保護を拡大して、セキュリティ オペレーションを簡素化するために役立ちます。XDRを利用すれば、EDRでは手動の操作が必要な多くの機能が自動化されるほか、すぐに使用できる脅威インテリジェンスと分析機能も提供されます。この結果、(サイロ化されたツールではなく)単一のソリューションを実現して、可視性と生産性を容易に高め、脅威の特定、調査、レスポンスにかかる時間を短縮することができます。

XDRはEDRよりも優れているのか?

EDRは、エンドポイントを標的とする高度な攻撃の防御、検出、レスポンスに優れているソリューションです。しかし、XDRはエンドポイント防御のレベルを高め、エンドポイントを迂回できるより高度な脅威もブロックします。

たとえば、攻撃者はマルウェアを使用してエンドポイントを侵害することにより、標的ネットワークに侵入することがあります。EDRによって、このマルウェアは最終的に検出され、エンドユーザー デバイスから除去されます。しかし、EDRソリューションでは、エンドポイントが最初に侵害された後に、攻撃者がネットワークを通じて速やかに 横方向に移動 できることが認識されません。このステルス性の攻撃が見過ごされると、攻撃者はシステム、ユーザー認証情報、機密データへのアクセスを取得できるようになります。

XDRでは、このような攻撃手法を速やかにかつ正確に検出できます。XDRソリューションは非常に広範なデータ(ネットワーク、エンドポイント、クラウド、IDのデータなど)を取り込み、各データをつなぎ合わせて、ユーザーの行動とデバイスの動作のプロファイルを構築します。 一般ユーザーが、リモート マシンの管理や通常使用されないシステムへのアクセスなど、管理者のような行動をした場合、そのユーザーのマシンは侵害されている可能性があります。このことは、SOCチームが行動の異常を速やかに検出し、さらなる調査とレスポンスのために役立ちます。

従来のEDRを進化させたCortex XDR

組織は、XDRで脅威の検出機能とレスポンス機能を統一する必要があります。旧式の前世代のテクノロジに投資しないでください。XDRは、エンドポイント以外のソースからのテレメトリをより緊密に結合して、脅威検出を改善し、環境内の状況の大局的な把握を可能にすることにより、従来のEDR製品のメリットを拡張します。XDRには、エンドポイント、ネットワーク、クラウド環境のテレメトリを統合し、環境全体の可視化と検出を可能にする機能が必要です。さらに、これらのデータ ソースを相互に相関付け、さまざまなイベントの関係性を明らかにして、特定の動作の疑わしさをコンテキストに基づいて判定できるような機能も必要です。XDRが実現する可視性の拡大とコンテキスト把握の改善は、サイロ化されたEDR製品との主な違いであり、EDR製品より優れた利点でもあります。

Cortex XDRが、ネットワーク、エンドポイント、クラウド データをネイティブに統合して、高度な攻撃を阻止し、潜在的な脅威を検出し、調査期間を短縮する方法の詳細については、 こちらのページ をご覧ください。