Forrester社アナリストのAllie Mellenは、最近のブログ記事において、次のように書いています。

「XDRとは何であり、セキュリティ分析プラットフォームとどのように異なるかについて、信頼できる偏見のない説明がなかったため、クライアントはセキュリティ分析プラットフォームとXDRは同じものであり、サイバーセキュリティマーケティングのために新たに名付けたものであるという誤解を生み、無視されることとなりました」

では、XDRとは何なのでしょう。XDRはSIEMとSOARのニーズに対応できるのでしょうか。また組織はXDRソリューションに何を求めるべきなのでしょうか。この記事では、これらの一般的な質問のほか、いくつかの疑問点に答えることで、ソリューションがひしめき合う複雑な状況をセキュリティ専門家が適切にかじ取りできるように支援します。これらのシステムの複雑さを読み解く前に、基本的な質問のいくつかに答えることから始めましょう。

• XDRとは？
• SIEMとは？
• SOARとは？

XDRとは？

XDR（拡張検知・対応） は、EDR（エンドポイント検知・対応） に新たな進化をもたらすものです。XDRは、組織のセキュリティスタック全体でセキュリティデータの取り込み、分析、防御、および修復ワークフローを合理化する包括的なアプローチを通じて、脅威の検知と応答を実現しています。XDRでは、単一のコンソールを使用して脅威データの表示と対応を行うことで、セキュリティチームが隠れた脅威や巧妙な脅威を簡単に発見し、複雑な複数ステップの対応であってもセキュリティテクノロジースタック全体で自動化できるようにします。XDRはしばしば、オープンXDRとネイティブXDRの2つのタイプに分類されます。

XDRの機能：

• 高度な自動化および人工知能 (AI) ツールを使用して、エンドポイント、クラウドワークロード、ネットワーク、Eメールからデータを収集、相関付け、分析する
• データに優先順位を付け、単一のコンソールを使用して、標準化された形式でセキュリティチームにインサイトを提供する
• サイロ化したセキュリティツールをまとめ上げ、セキュリティ分析、調査、修復を1つの統合コンソールに統合して合理化する
• マネージドソリューションとして購入した場合、脅威ハンティング、脅威インテリジェンス、分析における経験豊富な専門家へのアクセスが含まれる場合がある

これらの機能により、XDRは脅威の可視性を劇的に向上させ、セキュリティ運用を加速して、TCOを削減し、セキュリティスタッフに定常的にかかる負担を軽減します。

SIEMとは？

SIEM（セキュリティ情報およびイベント管理） は、SEM（セキュリティイベント管理）とSIM（セキュリティ情報管理）の機能を組み合わせた一連のツールとサービスであり、アナリストがログとイベントのデータを確認し、脅威を理解して準備し、ログデータを取得してレポートを作成することを可能にします。

SIEMの機能：

• 組織全体からログデータを収集し、データを活用してインシデントやイベントを特定、分類、分析します。
• すべてのネットワークアプリケーションやハードウェアを含めて、環境内のあらゆる場所からデータを収集することで、悪意のあるアクティビティを可視化します。
• すべてのデータを単一の一元化されたプラットフォームに集約します。
• データを活用してアラート生成、レポート作成、インシデント対応をサポートします。

SIEMを利用すると、組織はあらゆるネットワークアプリケーションやハードウェアから取得したデータをいつでも分析できます。これにより、潜在的なセキュリティ脅威が業務に支障をきたす前に、脅威を認識することができます。

SOARとは？

SOAR（セキュリティのオーケストレーション、自動化と対応 ） は、組織のサイバーセキュリティポスチャを強化するために開発されたソフトウェアプログラムの集合体です。SOARプラットフォームを利用することで、セキュリティアナリストチームは、セキュリティ情報および管理システム、脅威インテリジェンスプラットフォームといったさまざまなソースからのセキュリティデータをモニタリングできるようになります。

SOARの機能：

• 脅威情報を収集し、日常的な対応を自動化して、より複雑な脅威をトリアージすることで、人の介入の必要性を最小限に抑えます。
• 脅威と脆弱性の管理、セキュリティインシデント対応、およびセキュリティ運用の自動化という3つのソフトウェアソリューションを統合して、セキュリティポスチャを強化および合理化します。
• 手作業による人的介入と機械学習 (ML) テクノロジーの両方を活用して、受信したセキュリティデータを分析し、インシデント対応アクションに優先順位を付けます。

SOARプラットフォームの全体的な目標は、脅威に関連するデータを収集し、脅威への対応を自動化することです。SOARプラットフォームを使用することで、セキュリティチームは効率を向上させて、対応時間を改善することができます。

SIEM、SOAR、XDRの主な違いは何か？

SIEMは、主にコンプライアンス、データストレージ、分析をサポートすることを目的としたログ収集ツールです。セキュリティ分析は、SIEMソリューションに大規模に追加された機能ですが、脅威を適切に特定するには、膨大なデータセット上で個別のセキュリティ分析機能を実行する必要があります。

SOARは、前述したように、オーケストレーション、自動化、対応の機能をSIEMに組み込んで、異なるセキュリティツールが相互に連携できるようにします。ただし、SOARが担当する範囲は、相互接続されたツールに限定されています。SOARは有用ではありますが、それ自体でビッグデータ分析の課題を解決するわけではなく、データやシステムを保護するわけでもありません。

XDRは、SIEMとSOARで生じた空白を、エンドポイントのデータと最適化を軸とした、まったく異なるアプローチで埋めるために出現しました。 XDRの高度な分析機能を活用して、組織は最も優先度の高いイベントに注力し、迅速に対応することができます。

SIEM、SOAR、XDRに関するFAQ

SIEMとSOARはどのような関係にありますか？

多くの場合、SOARとSIEMは一緒に使用されます。これら2つのプラットフォームは補完的であり、2段階のプロセスの一部として、セキュリティ運用全体で連携できます。

1. サイバーセキュリティのコンテキストにおけるSIEMソフトウェアソリューションの唯一の目的は、アラートを収集して、調査のためにセキュリティ担当者に送信することです。
2. SOARツールは、セキュリティの問題に関するデータを使用して対応を自動化します。またSOARでは人工知能を使用して、将来の同様の脅威を予測して対応します。

SIEMとSOARの関係は、アシスタントとマネージャーのようなものと考えることができます。SIEMソリューションは、ログを収集して相関付けし、アラートとしての要件を満たすログを特定します。SOARはSIEMからデータを受け取り、主導して解決に当たります。

つまり、SIEMには、ログリポジトリと分析機能があります。これらは、通常、SOARプラットフォームには備わっていないものです。SOARには、SIEMに備わっていない対応機能があります。SOARがなければ、SIEM外部のさまざまなインターフェースを使用し、SIEMが生成するデータやインサイトに基づいてセキュリティチームが行動することが必要になります。

XDRはSIEMやSOARの代わりに使用できますか？

簡単に言えば、答えはノーです。XDRは組織に新しいセキュリティ機能と強化された保護を提供しますが、完全にSIEMやSOARの代わりとして使用することはできず、またそうすべきでもありません。

SIEMには脅威検知以外のユースケース、例えばログ管理、コンプライアンス、脅威に関連しないデータ分析と管理などがあるため、XDRをSIEMの代わりにすることはできません。XDRは多くの場合、脅威に特化したユースケースに対応し、その点においてはSIEMに取って代わることができますが、組織には、SIEMによる対応が必要な他のニーズもあります。

SOARプラットフォームはどうかというと、セキュリティチームがリソースを最適化し、アクティビティに優先順位を付けるのに役立つ優れたオーケストレーション機能を備えています。通常、XDRソリューションにはこれらの機能がないため、SOARシステムを維持してXDRと統合することが重要になります。

組織には、SIEM、SOAR、XDRの3つのツールすべてが必要ですか？

はい。ただしこれは、必ずしもセキュリティ上の目的だけとは限りません。この記事全体を通じて、SIEM、SOAR、XDRの個別のセキュリティ機能について説明し、これらのツールがどのように連携して最も包括的かつ堅牢なセキュリティソリューションを提供し、他のユースケースに対応するかを明らかにしました。これら3つの重要な機能のいずれかを無視すれば、組織は侵害やその他のセキュリティイベントのリスクにさらされ、他のビジネス要件を満たせなくなります。

CrowdStrike Falcon® Insight XDRが優れている点

XDRは最新かつ最高のセキュリティツールと謳われていますが、XDRソリューションを構成する要素については、市場において、またアナリストの間でさえも、かなりの混乱があります。

CrowdStrike Falcon® Insight XDRは、最先端の脅威ハンティング、機械学習 (ML)、人工知能 (AI)、攻撃の痕跡 (IOA) をサードパーティのデータソースと組み合わせて、イベントを相関付け、リアルタイムの検知を実現します。

CrowdStrike Falcon® Insight XDRにより、セキュリティチームは次のことを行えるようになります。

• 検知と対応のセキュリティデータを統合する。CrowdStrike Falcon® Insight XDRは、CrowdXDR Allianceパートナーを含むサードパーティベンダーからサードパーティデータ（ネットワークセキュリティ、Eメールセキュリティ、Webセキュリティ、クラウドセキュリティ、クラウドアクセスセキュリティブローカー [CASB] など）を取得し、CrowdStrike Security Cloudのデータと相関付けて、リアルタイムの脅威検出、調査、対応、ハンティングを最適化します。
• 的確な答えを迅速に得る。CrowdStrike Falcon® Insight XDRは、単一の中央コンソールでアラートの正確な優先順位付け、柔軟な検索スケジュールと検出のカスタマイズ、完全な攻撃コンテキスト、インタラクティブなグラフの視覚化を実現することで、セキュリティオペレーションセンター (SOC) のアナリストや脅威ハンターがトリアージと調査を迅速化できるようにします。
• XDRで得たインサイトを行動につなげる。セキュリティワークフロー全体の対応をオーケストレーションして自動化するために、SOARフレームワークであるFalcon FusionがFalconプラットフォームにネイティブに組み込まれています。セキュリティチームは、検出とインシデントの分類に基づくカスタマイズ可能なトリガーとともに、リアルタイムの通知と対応機能を構築することで、SOCとITの効率を向上させることができます。
• SOCの運用を効率化する。CrowdStrike Falcon® Insight XDRは、セキュリティスタック全体で自動的に相関付けを行い、高品質の検知データを提供します。共通の検索インターフェースをCrowdStrike Security Cloudから直接提供することで、調査とハンティングを劇的にスピードアップします。
• 既存のセキュリティ投資の投資収益率 (ROI) を向上させる。CrowdStrike Falcon® Insight XDRは、これまでITスタック全体で分断されていた多様なセキュリティ製品のサイロ化されたデータから、実用的なインサイトを導き出します。

CrowdStrike Falcon® Insight XDRの優位点の詳細については、CrowdStrike Falcon® Insight XDR製品をご覧いただくか、データシートをダウンロードしてください。