XDRとは何か

This post is also available in: English (英語) 简体中文 (簡体中国語) 繁體中文 (繁体中国語) 한국어 (韓国語)

Cortex XDR: the workflow
Cortex XDRの処理フロー概念図

ここ最近、私たちパロアルトネットワークスだけでなく、アナリストや競合他社もふくめた多くの方々が、「XDR」を話題に取り上げておられるようです。しかしながらそこは古典的セキュリティ業界の常で、「似たような製品カテゴリが多くて分かりにくい」という声が聞かれるのも事実。「今度は何が違うのか説明してほしい」と言われることもさほど珍しいことではありません。

XDRとは何か

では「エンドポイント検出・応答(EDR)」、「エンドポイント保護プラットフォーム(EPP)」、「ネットワークトラフィック分析(NTA)」、その他もろもろのセキュリティツールとこの「XDR」では、どのような違いや位置づけ関係にあるのでしょうか。「XDR製品」の評価で見るべき重要条件とは何でしょうか。

かんたんに言えば、「XDR」の「X」は「何でも」を意味する変数だ、ということです。XDRソリューションとはつまるところ、「検出・応答プラットフォーム」のなかでも、ネットワークセンサー、エンドポイントセンサー、クラウドセンサーから適切なデータを取得でき、なおかつそれらすべてのデータの分析を集中管理して行えるものを指しています。

2018年にこの「XDR」というカテゴリをつくりだしたのは、弊社のビジョンを率いるCTO兼共同創業者、Nir Zukでした。彼は、当時出回っていたEDR製品はその用途があまりに狭すぎて、日々進化するセキュリティチームのニーズに応えきれていないことに気づきました。これを受けてXDR製品は、保護をすり抜けた脅威に関して利用可能な情報のすべてを検出してつなぎ合わせ、進行中の攻撃の詳細分析をセキュリティアナリストに提供するために設計されました。こうして得られた情報があれば、セキュリティチームはインシデントにすばやく対応して解決でき、より積極的な脅威ハンティングにのぞめるようになります。

より詳しくは、「XDR: Enterprise-Scale Detection and Response」を参考にしてください(無料でダウンロードできます)。この本には、「XDRソリューションとは何か」はもちろん、「XDR製品の評価ポイント」や「既存セキュリティツールキットとどう組み合わせるか」など、XDRについて知るべき以下の情報が網羅されています。

  • 従来のEDR製品の問題点とこれらの問題点にXDRはどう対処しているか
  • クラウドや自動化を駆使する洗練された強力な攻撃者から組織を保護するために必要なXDRの機能とは
  • XDRソリューションの定義と特徴
  • XDRの主なユースケースとXDRで全体的なセキュリティオペレーションを改善する方法
  • XDRツール評価用の詳細なRFPチェックリスト
Demisto と Cortex XDR の位置づけ
Demisto と Cortex XDR の位置づけ

弊社も本書に説明されている原則を真摯に受け止め、業界をリードするユニークなXDR製品、Cortex XDRの機能拡張につとめています。Cortex XDRの導入により、トリアージ・調査・インシデント対応プロセスの多くを自動化できます。そうすることで、残りの自動化できないプロセスに関する意思決定を行うさいも、アナリストは必要十分な情報をふまえて判断を下すことができます。

たとえばCortex XDRでは、完全に種類の異なるアラートを「インシデント」ごとにグループ化できるので、アラートのボリュームが1/50に下がり、調査にかかる時間も、平均で1/8に短縮することができます。つまり、ログを収集して連携機能のない多数の分析ツールに取り込んで処理するタイプの古いインシデント対応プロセスと比べ、XDR製品は効率、有効性、拡張性すべての面で非常に高い実績をあげているのです。

しかもCortex XDRがその真価を発揮するのはこれからです。

エージェントレスでDetectionとResponseを実現するCortex XDR。この度、パロアルトネットワークスは、ますます機能を充実させた Cortex XDR 2.0 をリリースいたしました。バージョン2.0では、さらにセキュリティの死角をなくし、膨大なアラートの負荷から生じるセキュリティチームの疲弊を緩和し、管理をシンプルにするために、いくつかの機能拡張を行っています。ぜひオンラインセミナーの解説をごらんください。