XDR（Extended Detection and Response）は、セキュリティー・ツールを統合し、すべてのセキュリティー層（ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データ）のセキュリティー運用を一元化するオープンなサイバーセキュリティー・アーキテクチャーです。 XDRを使用すると、連携するように設計されていないセキュリティー・ソリューションであっても、脅威の予防、検知、調査、対応のためにシームレスに相互運用できます。

XDRは、セキュリティー・ツールとセキュリティー層間の可視性のギャップをなくすことで、過重な負担を抱えているセキュリティー・チームが、より迅速かつ効率的に脅威を検知して解決できるようにします。また、それらのチームが、より完全なコンテキスト・データを収集して、より適切なセキュリティー上の意思決定を行い、将来のサイバー攻撃を防止できるようにします。

XDRが最初に定義されたのは2018年ですが、これ以降、セキュリティー専門家と業界アナリストによるXDRの議論は急速な発展を続けています。 当初、多くのセキュリティー専門家は、XDRを、企業のすべてのセキュリティー層に拡張可能な強化されたEDR（Endpoint Detection and Response）と説明していました。 しかし今日、専門家は、XDRの可能性は、XDRが統合するすべてのツールや機能の総合的な可能性よりも遥かに大きいと見ており、脅威の検知、調査、対処のためのエンドツーエンドの脅威の可視化や、インターフェースの一元化、ワークフローの最適化などのメリットに強調しています。

また、アナリストとベンダーは、XDRソリューションをネイティブXDR とオープンXDR の2つの種類に分類しています。ネイティブXDRは、特定のソリューション・ベンダーのセキュリティー・ツールのみを統合し、オープンXDRは、ベンダーを問わず、組織のセキュリティー・エコシステム内のすべてのセキュリティー・ツールを統合します。 しかし、企業のセキュリティー・チームとセキュリティー・オペレーション・センター（SOC）は、ネイティブXDRソリューションに対しても、現在使用している、あるいは将来使用するかもしれないサード・パーティーのセキュリティー・ツールを統合可能な、オープンXDRのような柔軟性を期待していることが次第に明らかになってきています。

今日、企業は高度な脅威（高度な永続的脅威とも言う）にさらされています。   これらの脅威は、エンドポイントの防止対策をすり抜け、数週間から数カ月にわたってネットワークに潜伏し、大規模な攻撃やデータ侵害の準備をするために、ネットワーク内を動き回り、権限を取得し、データを窃取し、ITインフラストラクチャーのさまざまな層から情報を収集します。 ランサムウェア攻撃、ビジネス・メール詐欺（BEC）、DDoS攻撃（Distributed Denial of Service Attack）（英語）、サイバー・スパイなど、最も被害が大きくコストのかかるサイバー攻撃やデータ侵害の多くは、高度な脅威の一例です。

組織は、これらの脅威に対抗し、サイバー犯罪者が攻撃を仕掛けるための攻撃のベクトルや手法を遮断するために、数多くのサイバーセキュリティーのツールとテクノロジーで武装しています。   これらのツールの中には、特定のインフラストラクチャー層に焦点を当てるものもあれば、複数の層のログ・データとテレメトリーを収集するものもあります。

ほとんどの場合、これらのツールはサイロ化されており、相互に連携していません。  このため、セキュリティー・チームは、アラートを手動で相関させて実際のインシデントを誤検知と区別し、インシデントを重大度に応じて選別し、手動で調整して、脅威を軽減して修正しなければなりません。    IBMの「2021年サイバー・レジリエント組織調査」（英語）によると、32％の組織がそれぞれの脅威に対応するために21個から30個のセキュリティー・ツールを使用しており、13％が31個以上のツールを使用しています。 

このような状況のため、高度な脅威の特定と阻止に時間がかかりすぎています。   IBMの「2022年データ侵害のコスト」レポートによると、データ侵害（英語）の発見から解決までに平均277日かかります。  この平均値に基づくと、1月1日に発生したデータ侵害は、10月4日まで阻止されることはありません。

XDRは、各層に固有のポイント・ソリューション間のサイロを解消することで、過重に負担を抱えているセキュリティー・チームとSOCに、脅威の迅速な特定、対応、解決に必要なエンドツーエンドの可視性と統合を提供し、脅威による損害を最小限に抑えられるようにします。   

XDRは、その登場から比較的短期間で変化をもたらしています。 「2022年データ侵害のコスト」によると、XDRを導入している組織は、導入していない組織と比較して、データ侵害のライフサイクルを29％短縮し、侵害コストを平均で9％削減しました。

XDRは通常、クラウド・ベースまたはSoftware as a Service（SaaS）のソリューションとして使用されており、業界調査会社であるGartner社は、XDRを「SaaSベース」と定義しています。   XDRは、クラウド・ソリューションやセキュリティー・ソリューションのプロバイダーのManaged Detection and Response（MDR）オファリング推進の中核をなすテクノロジーでもあります。  

XDRセキュリティー・ソリューションは、以下を統合することができます。  

• アンチウイルス、User and Entity Behavior Analytics（UEBA）（英語）、ファイアウォールなど、個々のセキュリティー・ツール（またはポイント・ソリューション）。
  
  
• EDR、エンドポイント保護プラットフォーム（EPP）、Network Detection and Response（NDR）（英語）、Network Traffic Analysis（NTA）など、各層に固有のセキュリティー・ソリューション。
  
  
• セキュリティー情報イベント管理（SIEM）やSecurity Orchestration, Automation and Response（SOAR）など、セキュリティー層全体のデータを収集したりワークフローを統合したりするソリューション。   
   

継続的なデータ収集

XDRは、統合されたすべてのセキュリティー・ツールからログ・データとテレメトリーを収集し、インフラストラクチャーで発生するすべての事象の継続的に更新される記録を効率的に作成します。これらの事象には、ログイン（成功と失敗）、ネットワーク接続とトラフィック・フロー、Eメール・メッセージと添付ファイル、作成および保存されたファイル、アプリケーションとデバイスのプロセス、構成とレジストリーの変更などが含まれます。    XDRは、さまざまなセキュリティー製品によって生成された特定のアラートも収集します。  

オープンXDRソリューションは通常、オープンなアプリケーション・プログラミング・インターフェース（API）を使用してこのデータを収集します （ネイティブXDRソリューションでは、デバイスやアプリケーションにインストールされた軽量データ収集ツール（エージェント）が必要な場合があります）。収集されたデータはすべて正規化され、クラウド・ベースの中央データベースまたはデータレイクに保存されます。  

リアルタイムの分析と脅威の検知  

XDRは、既知の脅威や疑わしい活動が明らかになると、高度な分析と機械学習（英語）アルゴリズムを使用して、それらの脅威や活動を示すパターンをリアルタイムで特定します。    

これを実行するため、XDRは、さまざまなインフラストラクチャー層のデータとテレメトリーを、最新のサイバー脅威の戦術やベクトルなどに関する継続的な更新情報を提供する、脅威インテリジェンス・サービスのデータと相関させます。          脅威インテリジェンス・サービスには、XDRプロバイダーが運営する専有サービス、サード・パーティーのサービス、またはコミュニティー・ベースのサービスがあります。    また、XDRソリューションの多くは、MITRE ATT&CK（自由にアクセス可能な、ハッカーのサイバー脅威の戦術やテクニックに関するグローバルな知識ベース）にデータをマッピングします。   

XDR分析と機械学習アルゴリズムは、リアルタイムのデータを履歴データと確立された基準値と比較して、疑わしい活動、エンド・ユーザーの異常行動、サイバーセキュリティーのインシデントや脅威を示す可能性のあるあらゆるものを特定するために、独自の調査を行うこともできます。      また、「シグナル」（正当な脅威）を 「ノイズ」（誤検知）から分離できるため、セキュリティー・アナリストは重要なインシデントに集中できます。    最も重要なのは恐らく、機械学習アルゴリズムは、データから継続的に学習し、時間の経過に従って脅威の検出能力を高められることです。  

XDRは、重要なデータと分析結果を、ソリューションのユーザー・インターフェース（UI）としての機能も果たす中央管理コンソールに集約します。   セキュリティー・チームのメンバーは、このコンソールから、企業全体のあらゆるセキュリティー問題を全面的に可視化し、拡張されたインフラストラクチャーのあらゆる場所で調査、脅威対応、修正を開始できます。   
 

自動化された検知機能と対応機能

XDRは、自動化によって迅速な対応を実現します。   XDRは、セキュリティー・チームが設定した事前定義済みのルール、または機械学習アルゴリズムが徐々に「学習」したルールに基づいて、脅威の検知と解決を迅速化する自動対応を実現するため、セキュリティー・アナリストはより重要な仕事に集中できます。    XDRは、以下のようなタスクを自動化できます。

• 重大度に応じてアラートを選別し、優先順位付けする。
  
  
• 影響を受けたデバイスの切断やシャットダウン、ネットワークからのユーザーのログアウト、システム/アプリケーション/デバイスのプロセスの停止、データ・ソースのオフライン化を実行する。
  
  
• アンチウイルス/アンチマルウェア・ソフトウェアを起動し、ネットワーク上の他のエンドポイントに同じ脅威がないかスキャンする。  
  
  
• 関連するSOARインシデント対応プレイブック（特定のセキュリティー・インシデントに対応して複数のセキュリティー製品をオーケストレーションする自動化されたワークフロー）をトリガーする。           

XDRは、脅威の調査と修正の活動も自動化できます（次のセクションを参照）。     自動化 は、 セキュリティー・チーム が、インシデントにより迅速に対応し、インシデントが引き起こす被害を防止したり最小限に抑えたりする際に役立ちます。
 

脅威の調査と修正 

XDRプラットフォームは、セキュリティー脅威の特定後、セキュリティー・アナリストがその脅威をさらに調査するために使用できる機能を提供します。      例えば、フォレンジック分析と「トラック・バック」レポートは、セキュリティー・アナリストが、脅威の根本原因を突き止め、影響を受けたさまざまなファイルを特定し、ネットワークへの侵入、ネットワーク内の移動、認証資格情報へのアクセス権の入手、その他の悪意のある行為の実行に攻撃者が悪用した脆弱性を特定する際に役立ちます。    

アナリストは、これらの情報をもとに、修正ツールを統合して脅威を排除できます。   修正には以下のようなものがあります。 

• 悪意のあるファイルを破壊し、エンドポイント、サーバー、ネットワーク・デバイスから一掃する。
  
  
• 破損したデバイスとアプリケーションの構成、レジストリー設定、データ、アプリケーション・ファイルを復元する。
  
  
• 更新またはパッチを適用して、インシデントの原因となった脆弱性を解消する。
  
  
• 再発防止のために検知のルールを更新する。
   

脅威ハンティングのサポート 

脅威ハンティング（サイバー脅威ハンティングとも言う）とは、セキュリティー・アナリストが、まだ知られていない脅威や、組織の自動化されたサイバーセキュリティー・ツールでまだ検出または修正されていない既知の脅威をネットワーク上で検索する、事前対応的なセキュリティー活動のことです。       

繰り返しになりますが、高度な脅威は、大規模な攻撃や侵害の準備のために、検出されるまで数カ月間潜伏していることがあります。   効果的でタイムリーな脅威ハンティングにより、これらの脅威の発見と修正にかかる時間を短縮し、攻撃による被害を抑制または防止することができます。  

脅威ハンティング担当者は、XDRが脅威の検知、対応、修正に使用するのと同じデータ・ソース、分析、自動化の機能を活用する、さまざまな戦術やテクニックを使用します。       例えば、脅威ハンティング担当者が、フォレンジック分析、または特定の攻撃者の手法を説明するMITRE ATT&CKのデータに基づいて、特定のファイル、構成変更、その他の成果物を検索する可能性があります。

これを支援するため、XDRは、UI駆動型またはプログラマチックな手段で、セキュリティー・アナリストに分析と自動化の機能を提供し、それらのアナリストがアドホックな検索データの照会、脅威インテリジェンスとの相関、およびその他の調査を実行できるようにします。        XDRソリューションの中には、共通のタスクを自動化するための単純なスクリプト言語や、自然言語照会ツールなど、脅威ハンティング専用として作成されたツールもあります。