
現在、サイバー脅威からビジネスはありとあらゆるデータを守らなければなりません。ハイブリッドな職場環境や BYOD により、セキュリティチームが企業ネットワークにあらゆる潜在的なエントリポイントを保護することが難しくなっており、どんなビジネスでも検出や対応戦略を考え、その戦略を忠実に守ってリスクを軽減し、収益を確保し、ブランドイメージを守らなければなりません。
本記事では3つの主要な検出と対応アプローチについて考察し、その3つ(EDR、XDR、MDR)を比較することで、会社のニーズに合ったベストの戦略を選ぶことができるようになります。
EDRとは
EDRは 「エンドポイント検出と対応」を表しています。この技術は、いままでのセキュリティ対策(基本的なアンチウィルス)をくぐりぬけたサイバー脅威に対して、ネットワークで繋がったエンドポイントシステム(PC、ノートパソコン、IoT、サーバーなど)を守ることを目的としています。
EDRの定義
高機能な脅威に対する次世代型ソリューションとして、 EDR は一般的に下記機能を備えています。
エンドポイントモニタリング
ハイブリッド職場環境の増加に伴い、攻撃者にとって攻撃箇所が拡がる原因となりました。攻撃者は通常プライマリネットワークの外にあるエンドポイントをターゲットとし、会社の防御を超えて侵入しようとします。EDR ソリューションはエンドポイントを監視し、保護システムに関するデータを収集し、疑わしい動作がないかそのデータを分析し、潜在的な脅威を検出し、セキュリティチームにアラートを送信します。
異常検出(および AI)
EDR ツールは機械学習と統合され、異常検出と人工知能を使って脅威インテリジェンスを実現します。EDR システムは大量のデータを分析し、悪意ある攻撃のパターンと傾向の要点をまとめ、潜在的な侵入攻撃やネットワーク全体にあるその他の脆弱性に関する問題を検出します。最新 EDR テクノロジーはクラウドベースのグローバル異常検出機能で、特定レベルでローカルの脅威を検出し、顧客への攻撃を認識します。
アクティブエンドポイント保護
検出時、EDR ツールは自動的に脅威に対応します。マルウェアを削除し、継続的な攻撃に対抗したり、脆弱なエンドポイントからシステム全体を隔離したりして、マルウェアの拡散を防止します。
脅威調査と脅威ハンティング
脅威調査はインシデント対応にとって非常に重要で、根本的原因と保護システムの感染範囲を特定します。EDR はログ収集とデータ分析を実行し、総合的なレポートをセキュリティチームに提供します。
エンドポイントログ管理
エンドポイントは一般的にログファイルを生成しますが、ログデータは調査しないままでは役に立ちません。EDR は自動でログ管理を実施し、担当データ分析システムと担当チームが重要なログデータを利用できるようにします。
拡張検出と対応(XDR)とは
従来の EDR は、企業ネットワーク内の 1 つの側面に焦点をあてた限定的なサイバーセキュリティソリューションとして見られることがよくあります。その一方で、XDR はエンドポイント、クラウドサービス(単一プラットフォーム)とネットワークに対する検出と対応機能で構成されています。とくに複雑でハイブリッドな職場環境において、総合的なサイバーセキュリティ戦略は XDR によって大きなメリットが受けられます。企業はサービスとしてのソフトウェア(SaaS)商品の一部として XDR を要望することが多々あります。
マネージド検出と対応(MDR)とは
EDR と XDR は組織全体のネットワークにわたって役に立ちます。しかし、どちらの方式も徹底的な分析を要する巨大なデータを生成します。高度なスキルを持つサイバーセキュリティ専門家でも、テレメトリデータすべてを確認するには大変な時間と労力を要します。この面倒で骨の折れる処理も、企業は MDR を活用できます。
マネージド検出と対応(MDR)は、独立型したテクノロジーではなく、EDR と XDR のメリットを便利なソリューションへと昇華させたマネージドサービスです。MDR はデータ検索調査と脅威検出、ネットワーク全体での取り込み分析とワークフロー、アラート疲労の軽減、脅威に焦点を当てたイベント分析の強化などに役立ちます。
MDR を使用すると、外部のサイバーセキュリティ専門家を雇う必要がなくなります。経験豊富なサードパーティプロバイダーがソリューションを作成した場合、アラートトリアージを簡単に実行して実際の脅威から誤検出を区別できます。多くの場合、MDR は総合的に従来の検出と対応機能を実行します。また、マルチドメイン脅威分析を加速し、DNS ファイアウォール、クラウドモニタリング、ネットワークセンサーなどを活用して、会社の IT インフラを守ります。
EDR 、 MDR 、 XDR の違いとは
EDR はあらゆるセキュリティプランの中心となります。EDR 脅威検出ソリューションは、ネットワーク上のエンドポイントのモニタリングと確保に重点を置きます。EDR はすべてのエンドポイントに設置されたセンサー(またはソフトウェアエージェント)に依存してデータを収集し、そのデータを中央レポジトリへ送信し、総合的な分析を有効にします。サービスがエンドポイントセキュリティを管理する際、それを MDR と呼ぶことができます。そのようなサービスは、経験豊かなセキュリティチームが脅威を軽減、排除、救済することに重点を置きます。XDR は EDR 機能を強化し、あらゆる脆弱なエントリポイントを(エンドポイントのみならず)攻撃者から守ります。
XDR ソリューションは多様なマルチドメインのセキュリティテレメトリを収集し、組織のセキュリティスタック全体のセキュリティデータインジェスト、分析やワークフローを合理化し、エンタープライズ全体の可視化を強化します。このように、XDR は隠れた最新脅威の周辺を明るく輝き、統一レスポンスを実現します。管理サービスとして購入された場合、XDRは非常にスキルの高い特殊タレント、トップレベルの脅威インテリジェンスと分析へのアクセスを可能にします。
MDR 、 EDR 、 XDR の違いのまとめ
汎用エンドポイント検出と対応ツール( EDR )は、動作分析( IOC と IOA )を使ってリアルタイムでエンドポイントを監視し、脅威データベースとグラフ、ネットワーク封じ込めを行い、セキュリティチームに復旧推奨事項を示します。
MDR は EDR と同じ機能を提供しますが、エンドポイントを監視し、脅威を排除および修正するため24時間365日の管理サービスを提供します。
XDR は脅威中心のネットワークトラフィック分析ソリューションです。さまざまなソースからセキュリティデータの取り込みを合理化し、脅威の可視性を大幅に向上させ、脅威分析を加速し、脅威リスクを軽減します。脅威の可視性を XDR で強化することで、セキュリティ運用を高速化し、詳細なドメイン脅威分析調査を可能にし、チームにサイロ化セキュリティツールを提供し、会社全体のサイバーセキュリティ戦略を統一します。
EDR のメリット
エンドポイントの検知と対応ソリューションはより健全な企業ネットワークへの第一歩です。この方法のおもな 3 つのメリットを下記に示します。
迅速な脅威の特定と修復
EDR は従来のウィルス対策を回避する脅威を迅速に特定し対抗できます。EDR ツールは自動的にエンドポイントアクティビティを継続的に監視し、疑いのある動作をリアルタイムで特定し、悪意ある脅威を検出し、内部および外部両方のソースからの攻撃を分離し、回避します。
プロアクティブな脅威検出
従来のウィルス対策は一般的に脅威がシステムを攻撃した後に対応します。EDR はプロアクティブに新しい脅威を検出し、環境内の悪質のある攻撃者を見つけ、攻撃が起こる前に拒否します。
セキュリティ専門家の支援
自動化に加え、EDR ツールを使用すると組織は人的レベルでセキュリティリスクを分析できます。マネージド EDR ソリューションがあれば、企業は専用セキュリティオペレーションセンター(SOC)のサポートを利用して、すべての EDR ツールを管理し、インシデントを見直し、改善した検出と対応戦略を作成できます。
XDR のメリット
拡張検知対応(XDR)ソリューションはあなたのサイバーセキュリティ戦略を変革できます。堅牢な XDR ツールは、EDR と比較してより多くの潜在的な脆弱性をカバーしています。
さらに強化された高度な脅威検出
たとえば、EDR ソリューションは脅威を検出するためにエンドポイントを監視する一方、XDR は Web サイト、DNS 、URL 、SQL などを含み、ネットワーク全体のすべてのトラフィックを監視し、異常を検出して、即座にブロックします。
マルチデバイスとネットワーク保護
先に述べた通り、XDR はエンドポイントのみに焦点をあてているわけではありません。ネットワークトラフィック全体にわたって脅威を探し、あらゆる潜在的なエントリポイントでリスクを特定します。XDR はすべてのオンプレミス、オフサイトデバイスやクラウドベース環境をカバーし、攻撃対象領域全体を構成し、さまざまな潜在的な脅威を排除します。
マルチソースデータを簡単に分析
セキュリティ分析調査の合理化が、XDR の主要な検出と対応機能です。XDR を使用すると、マルチドメインテレメトリ全体で脅威を検出し、高度な脅威を迅速に修正できます。
生産性の向上
XDR を使用すると、企業全体の脅威を監視および管理し、セキュリティ運用を加速させ、チームの時間と労力を大幅に節約できます。とくにすべての XDR 機能を管理するための一元化されたダッシュボードを提供する堅牢な XDR ツールを選択すると役立ちます。
迅速なインシデント対応と復旧を可能にしてコストを削減
XDR を使用すると、インシデントを可能な限り迅速に分離して軽減できます。これにより、ダウンタイムと、最初の攻撃の後に他の領域が侵害されるリスクを最小限に抑えられできます。さらに、XDR ソリューションを使用すると、複数のツールが利用可能となります。重複するサービスを購入する必要がなくなり、コストを削減し、リソースの支出を最適化できます。
MDR のメリット
MDR はエンドポイントセキュリティテクノロジーを自動的に管理できるため、情報システム部はビジネス関連プロジェクトに集中できます。さらに、MDR は企業を下に示したような機能で支援します。
イベント分析
MDRは、何十億ものセキュリティイベントを分析し、誤検出を選別し、真の脅威を特定し、機械学習と人間による分析および管理を組み合わせて攻撃に対抗します。
アラートトリアージ
MDRは、サイバーセキュリティ活動の優先順位を付け、一番差し迫った問題に最初に集中するのに役立ちます。また、脆弱性にプロアクティブに対処して会社の脅威の表面を減らすため、脆弱性管理にも役立ちます。
脅威の検出と修復
高度な MDR ソリューションは、インシデントの発生後にシステムを修復、復元、修復し、損傷を最小限に抑え、復旧時間を短縮するのに役立ちます。
企業にはそれぞれ固有のニーズがあります。データを保護することは重要ですが、予算と目標にもっとも適したサイバーセキュリティツールを選択することが不可欠です。
XDR 、 MDR 、 EDR との比較:あなたのビジネスに最適なものはどれか
どんな組織にも独自のニーズがあります。データの安全確保が重要である一方、予算と目標に最適なサイバーセキュリティツールを選ぶことが必要不可欠です。
XDR 、 MDR 、 EDR の多様化に対し企業が十分調査分析する必要があります。Google 検索するだけでは不十分です。時間をかけてさまざまな方法のさまざまな側面を調査し、最適なものを選択してください。
Acronis Advanced Security + エンドポイント検知と対応 (EDR)
あらゆる規模の企業で、現在のサイバー脅威に対抗するため最新セキュリティ管理が必要です。しかし、最新の EDR と XDR ソリューションは非常に複雑でコストもかかります。Acronis Advanced Security + EDR なら、企業は高度な攻撃を迅速に検出、修復、調査し、MTTR、価値実現までの時間を劇的に改善し、コストを削減できます。Acronis を使用すると、迅速な分析と MI ベースガイド付きの攻撃解釈ができるようになり、MITRE ATT&CK® 全体の可視性が増し、誤検出が削減、本当のセキュリティ侵害指標(IoC)に集中できます。さらに、NIST サイバーセキュリティフレームワーク全体にわたる総合的な脅威対応ツールの恩恵を受けられます。大がかりなセキュリティチームがなくても、簡単に高度な脅威を特定、保護、検知、対応、回復できます。
アクロニスについて
アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。