「MDR」、「EDR」、「XDR」。セキュリティ界隈で使われる似たような言葉、一体それぞれどういう意味なのか、どう違うのかをまとめてみました。
MDRとは
MDR(Managed Detect & Response)は、ネットワーク内に侵入した脅威をいち早く検知し、素早く対応を取るためのサービスです。手口が巧妙化した脅威に対してSOC(Security Operation Center)と呼ばれるネットワークやセキュリティに関する高い知識と対応力を持つ専門的な組織が分析対応にあたるというものです。社内にSOCを設置できるのは概ね大企業です。中小企業は社内にそれだけの知識を持つ人材を構成するのが難しい場合もあるため、最近はSOCをアウトソーシングできるサービスもあります。社外に置くことで人材不足を解消できますが、非常に高度な専門的な知識を持つ外部スタッフは外注費用も高くなりがちで、管理すべき情報の量や重要度、万が一被害にあった場合の被害とのトレードオフとなります。
EDRとは
EDR(Endpoint Detect & Response)は、エンドポイント(PCやサーバなど)を監視し、インシデントに対して素早く対応するものです。エンドポイントに設置したエージェントプログラムが常時監視し、エンドポイント内に侵入したマルウェアの動きを捉えて即時対応するのが主な働きです。近年社外ネットワークからのアクセスやテレワークの増加など、これまで社内ネットワークにのみかけておけばよかったセキュリティだけでは防御できない状況が増えてきました。各エンドポイントによって変化する使用環境に影響されることなく、エージェントが自立して防御をおこなうことができるのが特徴です。
XDRとは
XDR(eXtended Detect & Response)は、EDRの防御範囲をクラウドワークロードやネットワークなど複数のセキュリティレイヤーにも広げて自動的に関連付けるものです。EDRではエンドポイントの範囲に限定されていた防御をより広い範囲まで対応するようにしたものがXDRです。導入する企業の環境によっては必要でない範囲もカバーしている可能性もあるので、各企業でどこまで防御するのかを調査した上で決める必要があります。
それぞれの違い -対応範囲-
何(誰)が対応するか、どこまで対応するかというのが大きな違いといえます。
MDRは防御対象の環境を網羅的に監視・対策できるように考えられたものですが、基本的に人間が分析・判断して対応するものです。人件費がかかるためすべての企業が導入できるわけではなく、また人間が対応するため判断ミス、処理や分析に時間がかかるというデメリットもあります。EDRはエンドポイントの防御に力点を置いたものですが、社外ネットワークからのアクセスやテレワークの増加など近年の職場環境の変化にセキュリティレベルを対応させるために必要なもので、多くはAIが自動対応することが多いです。エンドポイントに特化したEDRによる防御の幅をMDRレベルの範囲まで広げたものがXDRとされており、差別化のため各メーカーで強化するポイントが変化したり、不足している機能を補うことで言葉を少し変えたりしていますが、EDRよりもさらに広範囲に防御できるようにしたものと考えられます。XDRと呼ばれているものの多くはEDR機能のあるアプリケーションに、その他の防御機能のアプリケーションを複数つなぎ合わせたもので、その統合の仕方もメーカーにより様々です。
SIEM、SOARとの違い
また、似たような言葉にSIEMやSOARなどもあります。
SIEM(Security Information and Event Management)はログを一元的に収集して、その内容を分析し異常が見つかったら連絡・対応する管理方法をいいます。
SOAR (Security Orchestration, Automation and Response)はアメリカを中心に発展してきているサービス、組織内の各種セキュリティ機器及び外部サービスから収集された脅威情報を一つのプラットフォームに統合します。
インシデント対応の自動化、インシデント管理機能、脅威インテリジェンスの活用
いずれも人間の手のかかる動き、労力を節約するための方法です。
同様のコンセプトはEDRやXDRでも部分的に採用しています。企業の業務規模や防御すべき環境によってどこまでの範囲を分析し、情報を収集するのかは変わってきますが、複数のアプリケーションを複合的に使用するよりも、単一のアプリケーションでできるだけ統合した方が、全体的な分析や対策の迅速さの面で有利です。
どのようなDetect & Responseが必要なのか
企業ごとにネットワーク環境や使用している機器、アプリケーションの差がありますが共通している要素は以下の点と考えられます。
- 業務規模に合わせた範囲でできる限り情報を集約できる
大企業の場合は非常に広い範囲になりますが、中小企業でもその規模や環境に合わせた範囲で検知した情報を集約し分析・対応に活かせることが重要です。 - できるだけ単一のエージェントでインシデントの通知、対応、分析、調査ができること
様々な機器やOSに対応できても、複数のエージェントで通知が出るのでは分析や対応は非常に困難になります。単一のエージェントが検知、対応、分析、調査ができれば、確認もシンプルで迅速に対応できます。 - 未確認の新種の脅威に対しても対応できること
既存のEPPのようなシグネチャ型のアンチウイルス対策ではファイルレスマルウェアなどの新種の脅威には対応できません。AIによる振る舞い検知を実装し新種の脅威にも対応できる必要があります。 - インシデント対応ができる限り自動化されている、または自動化できること
セキュリティ製品によっては難解なレポートは出力されるものの対応は手動で自分でおこなう必要がある製品もあります。対応ができる限り自動化されていること、もしくは自動化を設定できるものである必要があります。 - 対応状況の通知が専門的な知識がないスタッフでも理解できるようできるだけ平易な文言になっていること
インシデントに関する通知がたくさん表示されたが結局何をどうすればいいのか、現状危険は取り除かれたのか、まだ危険なのか、など専門的な知識が無いスタッフでも現在の状況、どこまでの対応を実施済みで、このあと何をしなければならないのかが分かれば安心できます。平易な文言でわかりやすい表示が必要です。