新しい脅威検知／レスポンス技術「XDR」とは何か――IDCが「MDR」と対比して解説：テレメトリーを活用した検知精度向上が重要に

サイバーセキュリティ市場で存在感を増しているXDR技術について、IDCが公式ブログで解説した。XDRはMDRの一種だが、一般的なMDRよりも幅広いテレメトリーデータを扱う。ただし、マネージドサービスを含まない場合があるという。

[＠IT]

　IDCは2021年3月18日（米国時間）、公式ブログにおいてサイバーセキュリティ市場で存在感を増している技術である「Extended Detection and Response」（XDR）を取り上げて解説した。IDC インフラストラクチャサービス シニアリサーチアナリストのマーサ・バスケス氏による解説だ。

XDRはMDRに含まれる

　IDCによれば多くのセキュリティ製品ベンダーが独自のXDR製品を開発、提供している。XDRと似た既存技術としては、「Managed Detection and Response」（MDR）がある。

　MDRは、「マネージドセキュリティサービス」（MSS）の一種だ。MSSはツールや技術、手続き、方法論を組み合わせ、サイバーセキュリティライフサイクル全体にわたる機能をサービスプロバイダーが企業に提供するもの。

　サービスプロバイダーは顧客が利用している既存機能と、サイバーセキュリティパートナーから供給されるツールやサービス、自社の知的財産を組み合わせて、MDRサービスをデプロイ（展開）できる。MDRサービスには、サイバーセキュリティスタッフの常駐による24時間週7日のセキュリティオペレーションセンター（SOC）サービスが含まれる。

　XDRは通常、さまざまなソースからテレメトリーデータを取り込み、相関させる。MDRプロバイダーは、「Endpoint Detection and Response」（EDR）や他のセキュリティアプライアンスの機能を、サービスとともに提供することからスタートしたが、今ではほとんどのMDRプロバイダーが、さまざまなソースからテレメトリーデータを取り込み、迅速なインシデントレスポンスを障害軽減機能とともに提供するようになっている。

　IDCの指摘はこうだ。XDRはメッセージングやネットワーク、クラウドといったテレメトリーデータを取り込むが、サービスの観点から見ると、名前に「X」（eXtended：拡張）が付くことから、MDRと比べて、より多様なテレメトリーデータを取り込めるという特徴がある。ただし、XDRはあくまでMDRカテゴリーに属しているという。

XDRには含まれない機能とは

　製品ベンダーやマネージドセキュリティサービスプロバイダー（MSSP）が、MDRとXDRという用語を同列に扱う場合があることに、IDCは注意を促している。マネージドセキュリティサービスとしては、同じセキュリティ制御機能やツールの組み合わせが、MDRやXDRと見なされる可能性がある。

　ベンダーの観点から見ると、XDRには、マネージドセキュリティサービスは含まれない。つまり、24時間週7日のモニタリングやアラートのトリアージ、レスポンスサポートなどは含まれない。24時間週7日のサポートは、XDRのユーザー企業のチームとともに、ベンダーが別途提供する。

　一方、MDRサービスには通常、XDRが提供する機能に加え、脅威ハンティングやインシデントレスポンス、調査、フォレンジックといったサービスが含まれる。

XDRとMDRは今後どうなるのか

　MDRという全体的なカテゴリーの中で、XDR、「Endpoint Protection Platform」（EPP）、EDRといったさまざまなツールや技術が提供されていると、IDCは捉えている。

　総合的な観点から見ると、マネージド脅威検知とインシデントレスポンス機能では、可視性の向上やさまざまな技術を活用した検知、迅速なレスポンス、機能間の調整が必要になる。

　IDCでは、将来は、非従来型のテレメトリー機能に加え、さまざまなテレメトリーストリームを相関させ、精度の高い検知を実現する機能が重要になるとしている。