XDR（Extended Detection and Response）は、セキュリティー・ツールを統合し、すべてのセキュリティー・レイヤー（ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データ）のセキュリティー運用を一元化するオープンなサイバーセキュリティー・アーキテクチャーです。XDRを使用すると、必ずしも連携して動作するように設計されていないセキュリティー・ソリューションでも、脅威の予防・検知・調査・対応においてシームレスに相互運用できます。

XDRは、セキュリティー・ツールとセキュリティー・レイヤー間の可視性のギャップをなくすことで、過重な負担を抱えているセキュリティー・チームが、より迅速かつ効率的に脅威を検知して解決できるようにします。また、より完全なコンテキスト・データを収集して、より適切なセキュリティー上の意思決定を行い、将来のサイバー攻撃を防止できるようにします。

XDRは2018年に初めて定義されましたが、それ以来、セキュリティー専門家や業界アナリストによるXDRの説明は急速に進化しています。例えば、多くのセキュリティー専門家は、まずXDRをエンドポイントの検知と対応（EDR）を強化したものであり、すべてのエンタープライズ・セキュリティー・レイヤーに及ぶように拡張されたものであると説明します。しかし今日の専門家は、エンドツーエンドの脅威の可視性、統一されたインターフェース、脅威の検知、調査、対応のための最適化されたワークフローなどの利点を強調して、XDRの可能性はそれが統合するツールや機能をすべて合わせたものよりはるかに上回ると見なしています。

また、アナリストやベンダーは、XDRソリューションを、ソリューション・ベンダーのみのセキュリティー・ツールを統合する ネイティブXDRと、ベンダーに関係なく組織のセキュリティー・エコシステム内のすべてのセキュリティー・ツールを統合するオープンXDRに分類しています。しかし、エンタープライズ・セキュリティー・チームやセキュリティー・オペレーション・センター（SOC）は、ネイティブのXDRソリューションであってもオープンであること、そして現在使用している、または将来使用したいと考えているサードパーティーのセキュリティー・ツールを統合するような柔軟性を備えていることを期待していることが一層明らかになっています。

今日、組織は高度な脅威（Advanced Persistent Threat（APT）とも呼ばれます）にさらされています。このような脅威は、エンドポイント防御対策をすり抜け、数週間から数カ月にわたってネットワークに潜伏します。そして、大規模な攻撃やデータ侵害に備えて、動き回り、権限を取得し、データを盗み、ITインフラストラクチャーのさまざまなレイヤーから情報を収集します。ランサムウェア攻撃、ビジネス・メール詐欺（BEC）、分散型サービス妨害（DDoS）攻撃、サイバースパイ活動など、最も被害が大きく、コストのかかるサイバー攻撃やデータ侵害の多くは、高度な脅威の例です。

組織は、これらの脅威と闘い、サイバー犯罪者がそれらを仕掛けるために使用する攻撃ベクトルまたは手法を遮断するために、数多くのサイバーセキュリティー・ツールやテクノロジーで武装してきました。これらのツールの中には、特定のインフラストラクチャー・レイヤーに焦点を当てたものもあれば、複数のレイヤーにわたってログ・データとテレメトリーを収集するものもあります。

ほとんどの場合、これらのツールはサイロ化されており、相互に連携することはありません。そのため、セキュリティー・チームはアラートを手動で関連付け、実際のインシデントを誤検知から分離し、重大度に応じてインシデントをトリアージし、手動で調整して脅威を軽減および修復する必要があります。IBMのCyber Resilient Organization Study 2021によると、32%の組織がそれぞれの脅威に対応するために21～30個の個別のセキュリティー・ツールを使用していると回答し、13%は31個以上のツールを使用していると回答しています。

その結果、高度な脅威を特定して封じ込めるのに非常に長い時間がかかります。IBMの2022年データ侵害のコスト・レポートによると、 データ侵害の検知と解決に平均277日かかったことが明らかになりました。この平均に基づくと、1月1日に発生した侵害は10月4日まで封じ込められないことになります。

XDRは、レイヤー固有のポイント・ソリューション間のサイロを解消することで、過度に拡張されたセキュリティー・チームとSOCに、エンドツーエンドの可視性と統合を実現することを約束しています。これらは、脅威をより迅速な特定、より迅速な対応、およびより迅速な解決に加え、その被害を最小限に抑えるために必要です。

XDRは、導入から比較的短期間で変化をもたらしています。「2022年データ侵害のコスト」によると、XDRを導入している組織は、導入していない組織と比較して、データ侵害のライフサイクルを29日短縮し、侵害コストを平均9%削減しました。

XDR は通常、クラウドベースまたはSoftware-as-a-Service（SaaS）ソリューションとして使用されており、業界アナリストの1つであるGartner社は、XDRを「SaaS ベース」と定義しています。また、クラウド・ソリューションやセキュリティー・ソリューションのプロバイダーの管理された検知と対応（MDR）サービスを推進するコア・テクノロジーでもあります。

XDRセキュリティー・ソリューションは以下を統合できます。

• ウイルス対策、ユーザーとエンティティーの行動分析（UEBA）、ファイアウォールなど、個々のセキュリティー・ツール（またはポイント・ソリューション）
  
  
• EDR（エンドポイントの検知と対応）、エンドポイント保護プラットフォーム（EPP）、 ネットワークの検知と対応（NDR）、ネットワーク・トラフィック分析（NTA）など、レイヤー固有のセキュリティー・ソリューション。
  
  
• セキュリティー情報とイベント管理（SIEM）やセキュリティー・オーケストレーション、自動化、対応（SOAR）など、セキュリティー・レイヤー全体のデータを収集したり、ワークフローを調整したりするソリューション。
   

継続的なデータ収集

XDRは、統合されたすべてのセキュリティー・ツールからログ・データとテレメトリーを収集し、ログイン（成功した場合も失敗した場合も含む）、ネットワーク接続とトラフィック・フロー、Eメール・メッセージと添付ファイル、作成および保存されたファイル、アプリケーションとデバイスのプロセス、構成とレジストリーの変更など、インフラストラクチャーで発生するすべての記録を継続的に更新します。また、XDRはさまざまなセキュリティー製品によって生成された特定のアラートも収集します。

オープンXDRソリューションは通常、オープンなアプリケーション・プログラミング・インターフェース（API）を使用してこのデータを収集します。（ネイティブXDRソリューションは、デバイスやアプリケーションにインストールされた軽量データ収集ツール（エージェント）を必要とする場合があります。）収集されたデータはすべて正規化され、中央のクラウドベースのデータベースまたはデータレイクに保存されます。

リアルタイム分析と脅威検出

XDR は、高度な分析と機械学習アルゴリズムを使用して、既知の脅威や疑わしいアクティビティーを示すパターンを、展開されるとリアルタイムで識別します。

これを実現するために、XDRはさまざまなインフラストラクチャー・レイヤーに及ぶデータとテレメトリーを脅威インテリジェンス・サービスのデータと相関させます。このサービスは、サイバー脅威の戦術やベクトルなどの最新情報を継続的に提供します。脅威インテリジェンス・サービスには、独自のもの（XDRプロバイダーによって運営される）、サードパーティーのもの、またはコミュニティー・ベースのものがあります。ほとんどのXDRソリューションは、MITRE ATT&CKにもデータをマッピングしています。MITRE ATT&CKは、ハッカーのサイバー脅威の戦術とテクニックに関するグローバルな知識ベースで、自由にアクセスできます。

XDRの分析および機械学習アルゴリズムは独自の調査を行うこともでき、リアルタイムのデータを過去のデータや確立されたベースラインと比較し、不審な活動、異常なエンドユーザーの行動、サイバーセキュリティー・インシデントや脅威を示す可能性のあるあらゆるものを特定します。また、「シグナル」つまり正当な脅威を誤検知という「ノイズ」から分離できるため、セキュリティー・アナリストは重要なインシデントに集中できます。おそらく最も重要なのは、機械学習アルゴリズムがデータから継続的に学習し、時間の経過とともに脅威の検出能力が向上することです。

XDRは、重要なデータと分析結果を、ソリューションのユーザー・インターフェース（UI）としても機能する中央管理コンソールにまとめます。セキュリティー・チームのメンバーは、このコンソールから企業全体のあらゆるセキュリティー問題を完全に可視化し、拡張インフラストラクチャーのあらゆる場所で調査、脅威対応、修復を開始することができます。

自動検知および対応機能

XDRに迅速な対応をもたらすのは、自動化です。XDRは、セキュリティー・チームによって設定された事前定義されたルール、または機械学習アルゴリズムによって時間をかけて「学習」されたルールに基づいて自動応答を実現します。これにより、脅威の検知と解決が迅速化され、セキュリティー・アナリストはより重要な作業に専念できるようになります。XDRは、次のようなタスクを自動化できます。

• 重大度に応じたアラートのトリアージと優先順位付け
  
  
• 影響を受けたデバイスの切断またはシャットダウン、ユーザーのネットワークからのログアウト、システム/アプリケーション/デバイスのプロセスの停止、データソースのオフライン化
  
  
• ウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアを起動して、ネットワーク上の他のエンドポイントに同じ脅威がないかどうかスキャンする
  
  
• 関連するSOARインシデント対応プレイブック（特定のセキュリティー・インシデントに応じて複数のセキュリティー製品を調整する自動ワークフロー）をトリガーする  

XDRは、脅威の調査と修復アクティビティーを自動化することもできます（次のセクションを参照）。この自動化により、セキュリティー・チームはインシデントに迅速に対応し、インシデントによる被害を防止または最小限に抑えることができます。

脅威の調査と修復

セキュリティーの脅威が分離されると、XDRプラットフォームは、セキュリティー・アナリストが脅威をさらに調査するために使用できる機能を提供します。例えば、フォレンジック分析や「トラックバック」レポートは、セキュリティー・アナリストが脅威の根本原因を特定したり、影響を受けたさまざまなファイルを特定したりするのに役立ちます。また、攻撃者がネットワークに侵入して移動し、認証情報にアクセスし、その他の悪意のある活動を実行するために悪用した脆弱性を特定することもできます。

この情報を活用すれば、アナリストは修復ツールを調整して脅威を排除できます。修復には、次のものが含まれる場合があります。

• 悪意のあるファイルを破壊し、エンドポイント、サーバー、ネットワーク・デバイスから消去する
  
  
• 破損したデバイスとアプリケーションの設定、レジストリーの設定、データおよびアプリケーション・ファイルの復元
  
  
• インシデントの原因となった脆弱性を排除するための、アップデートやパッチの適用
  
  
• 再発防止するための検出ルールの更新
   

脅威ハンティングのサポート

脅威ハンティング（サイバー脅威ハンティングとも呼ばれる）は、セキュリティー・アナリストがネットワークを検索して、まだ未知の脅威や、組織の自動化されたサイバーセキュリティー・ツールによってまだ検出または修復されていない既知の脅威を探すプロアクティブなセキュリティー演習です。

繰り返しになりますが、高度な脅威は、検知されるまで数カ月も潜伏し、大規模な攻撃または侵害の準備をしている可能性があります。効果的かつタイムリーな脅威ハンティングにより、これらの脅威の発見と修復にかかる時間を短縮し、攻撃による被害を抑制または防止することができます。

脅威ハンターは、XDRが脅威の検出、対応、修復に使用しているのと同じデータ・ソース、分析、自動化機能に依存するさまざまな戦術やテクニックを使用しています。例えば、脅威ハンターは、フォレンジック分析や、特定の攻撃者の手法を記述したMITRE ATT&CKデータに基づいて、特定のファイル、設定変更、その他のアーティファクトを検索しようとする場合があります。

これらの取り組みをサポートするため、XDRはセキュリティー・アナリストがUI主導型またはプログラムによる手段を介して分析および自動化機能を利用できるようにし、アドホックな検索やデータ・クエリー、脅威インテリジェンスとの関連付け、およびその他の調査を実行できるようにします。XDRソリューションの中には、（一般的なタスクを自動化するための）シンプルなスクリプト言語や自然言語クエリー・ツールなど、脅威ハンティングに特化したツールが含まれているものもあります。