サイバー攻撃は年々巧妙化しており、従来のように事前に防ぐことが困難になりつつあります。そこで注目を浴びているのがXDRとEDRです。未知の脅威の検出にもすぐれており、迅速な対応が期待されています。しかし、具体的な機能の違いがわからず、どちらを導入したほうがよいのか悩んでいる担当者もいるのではないでしょうか。
今回は、XDRとEDRの違いについて解説します。EPPやSIEMについてもまとめました。それぞれの機能の違いを理解して、自社環境にあわせたセキュリティ対策を行いましょう。
従来よりもサイバー攻撃は高度化しつつある
経済産業省、警視庁をはじめ国内でも様々な機関がサイバーセキュリティ対策について注意喚起を行っています。近年はサイバー攻撃も巧妙化しており、各企業で高度なセキュリティ対策が求められています。なかでも特定の企業をターゲットにしたマルウェアによる被害が増えており対策は急務です。
企業は機密情報や社内システムを、不正アクセスやウイルス感染から守らなければなりません。
マルウェアへの対策や企業の情報セキュリティ対策については、以下の関連記事で詳しく解説しています。
▼マルウェアの被害を防ぐには?対策方法と感染時の対処法を解説
▼情報セキュリティ3要素のCIAとは? 基礎知識から具体的な対策まで徹底解説
注目されるエンドポイントセキュリティ
企業のセキュリティ対策において注目を浴びているのがエンドポイントセキュリティです。
エンドポイントとは、インターネット回線に接続されたコンピューターやサーバー、プリンターなどがあり、それぞれを保護するセキュリティツールにEPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)の2種類があります。
EPPとは、エンドポイントのマルウェア感染を防ぐことに特化したセキュリティ対策のひとつです。エンドポイント保護プラットフォームとも呼ばれており、パーソナルファイアウォールやHDD/SSDの暗号化などの機能を備えています。
EPPとEDRについては以下の関連記事も詳しく解説しています。ぜひご覧ください。
▼「EPP」と「EDR」の違いとは? エンドポイント対策の目的や機能について解説
EPPやファイアウォールなど従来のセキュリティ対策では脅威を制御できない
EPPや従来型のファイアウォールは、マルウェアの侵入を防ぐ事前対策機能が搭載されています。しかし、近年のサイバー攻撃の巧妙化により、入口対策では完全に防ぐことが難しくなっているのが現状です。万が一侵入された場合に被害を最小限に抑えるために、脅威をいち早く検知する対策が求められています。様々な機能を活用した多層防御をとらなければなりません。
EDRとは?
エンドポイントセキュリティは入口対策、内部対策、出口対策があります。EDRは、サイバー攻撃の痕跡を記録し、どのような攻撃を受けたのかを確認できるセキュリティ対策ソリューションであり、内部対策になります。
侵入されることを想定したセキュリティ対策となり、いち早く不審な挙動を検知し対処可能です。
EDRとは? NDRとの違い
EDRと同じように侵入されることを前提としたセキュリティ対策に、NDR(Network Detection and Response)があります。EDRと目的は同じですが、NDRとの大きな違いは監視の対象です。
項目 | EDR | NDR |
監視対象 | エンドポイント | ネットワーク |
異常検出方法 | 機械学習、ヒューリスティック※1、シグネチャベース※2 | 機械学習、データ分析 |
導入方法 | エンドポイントにエージェントをインストールする | ネットワーク機器のパケットをミラーリング |
※1 プログラムの挙動から判定する方法
※2 事前に登録した攻撃パターンと一致する通信を検出する方法
EDRは、端末にインストールしたエージェントソフトがリアルタイムで監視しながらAI(人工知能)を用いてデータの収集・分析を行います。NDRは、監視対象がネットワーク主体となり、そのネットワークに接続されている端末からデータを収集し、AI分析によって検出を行うのが特徴です。
監視対象が異なることからEDRはNDRと組み合わせることで、端末とネットワーク全体を包括的に脅威から守ることができると考えられています。
EDRや、次世代型セキュリティ対策の概念である「ゼロトラストネットワーク」については、以下の関連記事で詳しく解説しています。ぜひご覧ください。
▼EDR製品でどのようなセキュリティを実現できる?概要や仕組み、具体的な製品を紹介
▼ゼロトラストネットワークと従来のセキュリティの違いについて解説
XDRとは?
XDR(Extended Detection and Response)の「Extend」は拡張を意味しており、エンドポイントを監視するEDRと、ネットワークを監視するNDRの機能が統合されたサイバーセキュリティソリューションがXDRです。
EDRとNDRだけでは、巧妙化しつつあるサイバー攻撃への対応に限界があります。拡張性の高いXDRなら、エンドポイントとネットワークのどちらに対してもインシデント調査を行えるため、真の原因を特定し、脅威を封じ込めることができると考えられています。
XDRはサーバーやネットワークデバイス、セキュリティデバイス、アプリケーションなどのパフォーマンスログを、まとめて保存・管理できます。ログの相関分析をもとに検出・アラートの送信も可能です。
XDRとSIEMの違い
XDRの機能を知って、SIEM(Security Information and Event Management)と似ていると思った方もいるかもしれません。SIEMはネットワーク機器やサーバーなどのイベントログ情報を収集・集約・統合する相関分析を行うフレームワークです。複数の機器のログを収集・解析して、脅威を検知します。
高度な脅威を把握できますが、機器ごとに対応するため時間がかかります。そのため、実際にサイバー攻撃を受けたときに迅速な対処が難しいという課題がありました。そこで開発されたのがXDRというわけです。XDRはSIEMの機能を補うセキュリティ機能を備えています。
XDRとEDRの4つの違い
EDRと比べて、XDRが異なる点は以下の通りです。
- 自社環境に合わせたセキュリティ対策ができる
- 検出から解析までのリードタイムが早い
- セキュリティ運用の効率化
- 自動化によりサイロ化を防げる
それぞれ簡単に解説します。
1. 自社環境に合わせたセキュリティ対策ができる
XDRは、ビジネスで使用するアプリやデバイス、ネットワーク環境などにあわせた設定が可能なため、自社環境に最適なカスタマイズができます。
エンドポイントの脅威の可視化機能により、最新の脅威の解析情報を把握できるため、未知の脅威にも対策を講じられるだけでなく、脅威の見逃しを防ぐことも可能です。
2. 検出から解析までの時短化
XDRの導入により、検出から特定、解析までのリードタイムの時短化が実現できます。EDRは特性上、多くのログが残るため解析するのに時間がかかりますが、XDRは機械学習により収集から解析まで一貫対応が可能です。
これまで1日~数日かかっていたものが、長くても数十分で済むようになり、担当者の負担を大きく削減できます。さらにXDRは遠隔操作が可能なため、リモートワーク中でも迅速にセキュリティ対策を行えます。
3. エンドポイントセキュリティの強化
EDRは複数のセキュリティソフトを併用して対策を行わなくてはいけません。管理するセキュリティ製品が多いと、情報セキュリティ担当者にとって大きな負担となります。
XDRなら、管理するセキュリティソフトはひとつでよいため、担当者の負担を軽減し、効率のよい運用が可能です。さらにXDRは膨大な量のデータも、AIによってスピーディーに分析・解析が行えます。脅威に対しても迅速な検知と対処が可能です。
4. サイロ化を防止できる
XDRを導入することで、データの収集から検知、分析まで自動化が可能です。従来は手作業による分析・解析が行われていましたが、人の手を介すことで情報伝達がうまくいかず、情報が孤立して共有ができていない状態(サイロ化)となる課題がありました。XDRの自動化により、手作業を減らすことで情報の取りこぼしを防げます。
XDRを導入するときのポイント
XDRを導入するときは、脅威への自動対処と迅速に対処するためのガイドラインの作成がポイントです。それぞれ簡単に解説します。
インシデント対応を自動化する
XDRは継続的に運用できなければ、その効果を得ることはできません。継続的に監視を行うことで、未知の脅威から組織内のネットワーク、エンドポイントを守れるでしょう。
しかし、XDRは多機能なこともあり、セキュリティ対策の自動化には情報セキュリティ担当者を8人雇用するよりもコストがかかるといわれています。そのため、継続的な運用を考えると、導入を踏みとどまる企業も少なくありません。
そこで人の手を介さず、自動化するソリューションとしてSOAR(Security Orchestration、Automation and Response)が役立ちます。SOARに情報収集から調査、状況報告、対応などインシデントの発生を想定した対処法を組み込んでおくことで、人の手で対応しなくてもXDRを活用したセキュリティ対策が可能です。
業務の自動化により情報の取りこぼしもなくなるため、ヒューマンエラーを防止できます。
セキュリティインシデントの対応フローを作成
セキュリティインシデントが発生したときは、迅速な対処が求められます。被害を最小限に抑えるためにどのような対応をとるのか、事前に優先度を決めておかなければなりません。
万が一に備えて、セキュリティインシデントの対応フローやガイドラインを策定しておくことが大切です。
対応フローやガイドラインについて詳しくは、こちらの関連記事をご覧ください。
▼セキュリティインシデントの対応フローや参考となるガイドラインを解説
また、経済産業省は独立行政法人情報処理推進機構(IPA)とともに「サイバーセキュリティ経営ガイドライン」を策定しています。サイバー攻撃の検知後の初動対応、原因調査、事後対策などサイバーセキュリティインシデントにおいて、経営者が行うべき事項が記載されていますので、こちらも参考にしてください。
様々なエンドポイントセキュリティ対策製品
従来のセキュリティ対策製品では、未知の脅威を防ぐことが難しくなっています。リモートワークなど社外のネットワークからの侵入も想定した新しいエンドポイント対策製品の導入が必要です。
ここではネットワークからエンドポイントまで包括的な監視・対処が可能なエンドポイントセキュリティ製品を3つご紹介します。
VMware Carbon Black Cloud(EDR)
『VMware Carbon Black Cloud』はEDR機能を備えたセキュリティサービスです。最新のアンチウイルス機能をもつ「Next-GenAntivirus」とアプリの振る舞い分析により、未知の脅威を検出できます。もし被害が起きたときもいち早く対処・復旧が可能です。また、クラウド型のため、管理・運用の手間がかかりません。
テクバンのVMware Carbon Black Cloud(EDR)導入支援サービスについて詳細はこちらから。
Sophos Intercept X Advanced
『Sophos Intercept X Advanced』は、高性能AI(予測型ディープラーニング)が搭載されたエンドポイントセキュリティ製品です。米国国防高等研究計画局のテクノロジーをもとに開発されているため、未知の脅威も予測・検知できます。エンドポイント保護機能を備えているため、万が一のときにはすぐにネットワークを隔離、駆除、復旧まで自動で対応が可能です。
テクバンのSophos Intercept X Advanced導入支援サービスについて詳細はこちらから。
CrowdStrike Falcon
『CrowdStrike Falcon』は、クラウド環境を想定して開発されたセキュリティプラットフォームです。24時間365日の体制で監視し、状況に応じてリモートによる処理が行われます。クラウドサービスの利用が多い企業におすすめです。
テクバンのCrowdStrike Falcon導入支援サービスについて詳細はこちらから。
その他、様々なテクバンの次世代セキュリティ対策はこちらからぜひご覧ください。
XDR・EDR・EPPの違いを理解して脅威に備えよう
企業のサイバーセキュリティ対策に欠かせないエンドポイントセキュリティ対策について解説しました。巧妙化しつつあるサイバー攻撃に迅速に対応するには、セキュリティソフトをいくつか組み合わせるのも効果的です。効率よく管理できるように、XDRとEDR、EPPなどの機能や特徴の違いを理解したうえで、自社環境にあわせたセキュリティ製品を選びましょう。
もしセキュリティ対策の運用についてリソースが不足しているときは、テクバンにご相談ください。テクバンでは、EDRを含む次世代セキュリティ対策をはじめ、ITインフラ構築/運用支援サービスも提供しています。導入を検討されている方は、ぜひお気軽にお問い合わせください。
セキュリティに関する資料や事例もご用意しております。
【事例】ZTNAをポリシーに高度なセキュリティ強化を実現、同時に利便性も向上
【事例】個別のセキュリティ対策を統合。セキュアで高精度のサーバー環境を構築
【事例】リモート環境整備のための、適切なセキュリティ運用を実現