○DRが多すぎる ~EDR、NDR、XDRは従来と何が違うのか~
似たような略称であふれるIT業界。特に、EDR、NDR、XDRなど3文字は乱立している印象です。アルファベット26^3文字で、総組み合わせは17,576個。IPv4より先に枯渇することはなさそうですね。
今回は代表的な○DRであるEDR、NDR、XDRについて、従来のセキュリティソリューション用語との違いも挙げながら手短にまとめていきたいと思います。
○DRとは
○DRの“DR”は“Detection and Response”を指します。字面の通り、「Detection/検知」と「Response/対応の支援」を行うソリューションです。巷では関数の“x”があてがわれ、xDRなどとも呼ばれています。“x”の挙動をもとに脅威検知、対応を行うのがxDRです。(この記事ではXDRと区別するため、小文字“x”を充てることとします)
EDR(Endpoint Detection and Response)
PCやサーバーなどといったエンドポイント上で監視を行い、異常、不審な挙動を検知し、通知・隔離などの対応を行います。
よく、EPP(Endpoint Protection Platform)と比較されてきました。この二者の観点には「脅威の侵入前」「脅威の侵入後」という違いがあります。EPPでは、“そもそも脅威が環境内に入らないこと”を目的としています。これは、パターンマッチングなどにより、既知の攻撃を炙り出すことで実現してきました。
しかし、攻撃の巧妙化、テレワークの普及に伴う環境変化により、攻撃が内部に届いてしまうケースが出てくるようになりました。こうなると、“侵入され得る”ことを前提にする必要性があります。この時に注目されたのがEDRです。EDRでは振る舞い検知などの機能を用いて、セキュリティ侵害があったとしても、いち早く封じ込め、復旧することで被害を最小限に抑えます。
NDR(Network Detection and Response)
ネットワーク機器に流れる通信を取得および監視し、異常、不審な挙動を検知、対応します。
比較されやすい3文字用語はネットワーク型のIDS、IPSです。
IDS(Intrusion Detection System):侵入を検知
IPS(Intrusion Prevention System):侵入を防御
一見すると「NDRと同じでは?」となりそうです。確かに、2024年現在においては従来IDS、IPSと言われている製品がNDRの枠に書かれていることもある状況です。
その上で違いを挙げるとすれば、NDRにおいては「AI/機械学習を用いた内部ネットワークの横断的な行動分析」にさらなる重点が置かれています。例えばとあるNDR製品では、従来のシグネチャ型ではなく、アノマリ型として検知機能を実装しています。アノマリ型は、学習を通じて「正常なパターン」を定義し、そこから逸脱した挙動を異常と判定します。そのため、未知の脅威を検知することに対してアドバンテージを有しています。
XDR(eXtended Detection and Response)
オンプレミス、クラウドを問わず、組織の管理する各セキュリティソリューションから得たデータを集約し、網羅的なセキュリティを提供します。皆さんの組織でも、多層防御の考えに則り、複数レイヤーのセキュリティソリューションが配置されているのではないでしょうか。これらを統合、相関分析することで、インシデントの可視化、対応の自動化、その後の詳細分析、調査の効率化を実現します。脅威可視化の先達であるSIEMを強化したものとも言われています。
まとめ
一言にxDRと言っても、単純に「従来ソリューション+検知・対応」ではありません。脅威の侵入後の対応が重要視されるようになった現在。この変化に対応する形で生まれたのがxDRなのです。クラウドサービス用語であるIaaSやPaaSが派生してXaaSと言われ、多方面で活用されているように、今後も新たなニーズを基に、新xDRが生まれるかもしれませんね。
