XDR(Endpoint Detection and Response)が市場に登場してから、セキュリティ運用の効率化を目指し、多くの企業がその導入検討を行っている。すでにXDRを効果的に利用し始めている企業がある一方で、XDRに対する誤解が導入検討の妨げになっている場合もある。本稿は、その誤解を解くことで今後のXDRの検討を促すことを目的としている。
XDRをはじめとして、セキュリティ分野には、"DR"という名称がつくソリューションが複数存在する。EDRやNDRがその代表例だ。DRは、Detection and Responseの略で、“検知”と“対応”を意味する。つまり、EDR(Endpoint Detection and Response)は、「エンドポイントで脅威を検知し、対応を行うソリューション」を指し、NDR(Network Detection and Response)は、「ネットワークで脅威を検知し、対応を行うソリューション」を指す。一方、XDR(Extended Detection and Response)は、"Extended"が示すようにこれらを拡張する概念であるが、実はこのことがXDRの解釈を困難にし、導入を遅らせる要因となっている。
XDRは、EDRやNDRのように、特定の監視対象のログやイベントのみを扱うものではない(図1)。さまざまな監視対象からの情報を集約することで、より高度な検知や対応を実現するものである。したがって、単独で導入するのではなく、既存の検知・対応範囲を拡張するソリューションであると認識されたい。