XDRを取り巻く2つの誤解

XDR（Endpoint Detection and Response）が市場に登場してから、セキュリティ運用の効率化を目指し、多くの企業がその導入検討を行っている。すでにXDRを効果的に利用し始めている企業がある一方で、XDRに対する誤解が導入検討の妨げになっている場合もある。本稿は、その誤解を解くことで今後のXDRの検討を促すことを目的としている。

XDRの機能／役割

XDRをはじめとして、セキュリティ分野には、"DR"という名称がつくソリューションが複数存在する。EDRやNDRがその代表例だ。DRは、Detection and Responseの略で、“検知”と“対応”を意味する。つまり、EDR（Endpoint Detection and　Response）は、「エンドポイントで脅威を検知し、対応を行うソリューション」を指し、NDR（Network Detection and Response）は、「ネットワークで脅威を検知し、対応を行うソリューション」を指す。一方、XDR（Extended Detection and Response）は、"Extended"が示すようにこれらを拡張する概念であるが、実はこのことがXDRの解釈を困難にし、導入を遅らせる要因となっている。

図1．EDR／NDR／XDRの比較

XDRは、EDRやNDRのように、特定の監視対象のログやイベントのみを扱うものではない（図1）。さまざまな監視対象からの情報を集約することで、より高度な検知や対応を実現するものである。したがって、単独で導入するのではなく、既存の検知・対応範囲を拡張するソリューションであると認識されたい。