This post is also available in: English (英語)
使いやすいカッターナイフとスイスアーミーナイフのどちらかを選ぶとしたら、皆さんはどちらを選ばれるでしょうか。ほとんどのかたは、より多用途なスイスアーミーナイフのほうを選ばれるのではないでしょうか。シンプルなカッターナイフと同じく、スイスアーミーナイフにもメインのナイフ部分でさまざまな役割をこなしつつ、さらに多くの状況で役立つツールも追加でたくさん備えています。このスイスアーミーナイフのように、XDR(拡張ディテクション&レスポンス)は、EDR(エンドポイントディテクション&レスポンス)と同じ機能も提供しつつ、それ以上の機能もたくさん提供してくれます。
いま、政府機関の多くも、これと似た選択を迫られています。謳われている保護以上の機能をもたらす、適切なサイバーセキュリティソリューションの評価に取り組んでいるのです。具体的に言うと、EDRソリューションとXDRプラットフォームのどちらを実装するかを決めようとしています。
EDRはエンドポイントを監視します。従来のエンドポイントソリューションと比べて進歩していますが、複雑で多岐にわたる攻撃をセキュリティチームが特定するのに役立つ、組織のIT環境の全体像は提示してくれません。一方、XDRを実装した場合、ネットワーク、クラウドワークロード、サーバー、セキュリティ情報、イベント管理、その他の要素をセキュリティチームが包括的な視点で捉えられるようになります。複数のエンドポイントでデータを収集し、それらを相関させることもできます。
それではなぜ、XDRはより効果的なツールなのに、政府機関がEDRとXDRのどちらを使用するか、判断に迷っているのでしょうか。その主な理由はいくつか考えられます。
- 政府機関の大半は何らかのEDRソリューションをすでに使用中で変更するのがむずかしい
- XDRはまだ新しいソリューションなのでどのような価値をもたらすのかがまだ理解されていない
- XDRは実質的にはEDRの進化版であることが周知されていない(これについては後述)
EDRとXDRのどちらにするか政府機関が決定するプロセスを複雑にする、より重要で差し迫った要因はほかにもあります。それは、セキュリティ体制を強化する機能とツールへのアクセスを参加機関に提供するCDM (Continuous Diagnostics and Mitigation)プログラムによって、サイバーセキュリティの監視とエンドポイントデバイスの制御をEDRで行うように規定されているということです。これは、バイデン政権のExecutive Order on Improving the Nation’s Cybersecurity (国家のサイバーセキュリティ向上に関する大統領令)に呼応した措置です。この大統領令は、脅威の可視化、ディテクション&レスポンス機能を実現するために政府機関がEDRソリューションを実装することを義務付けています。
大統領令やCDMではXDRについてとくに言及していないため、政府機関の多くは、EDRへの投資に専念すれば、EDR要件の概要を満たして、(大統領令でも要求されている)ゼロトラストの取り組みを促進できると考えています。
政府機関のEDR重視をさらに強めているのが、行政管理予算局(OMB)が9月初旬に公開したFederal Zero Trust Strategyの草案です。この草案には、EDRに関する次のような記述があります。「政府全体にEDRを適用するために、政府機関は高性能なEDRツールをそれぞれの機関全体に導入しなければならない。」
一方、政府機関はこの声明に続く次の記述も考慮する必要があります。
「ゼロ トラスト アーキテクチャを実施するために、政府機関は許可されたすべてのデバイスのセキュリティ体制を監視、評価しなければならない。政府機関がクラウドサービスの使用を拡大するにつれて、その資産も必然的に増加してインターネット上に広がることになる。エンドポイント、サーバー、その他の重要な技術的資産を効果的に監視してセキュリティを強化するために、政府機関は、社内、クラウドを問わずにどのような資産を保有し、どこに脆弱性を抱えているかを知る必要がある。」
ここで、XDRの登場となります。ゼロ トラスト モデルを採用すると、ユーザー、アプリケーション、インフラストラクチャに関連する、IT環境でのすべてのやりとりを保護する包括的なアプローチをとらざるを得なくなります。ディテクション&レスポンス機能を備えたエンドポイントにのみ注力しても、リスクと脅威の全体像は把握できません。たとえば、クラウドアプリケーションや管理対象ホスト、管理対象外ホストに伴うリスクや脅威もあるのです。
政府機関とその他の組織によるXDRとEDRをめぐる論争は、ここで新たな判断材料を得ます。アナリスト会社のForresterは、最近のレポートで「EDRは死んだ。XDR万歳」と宣言しました。この声明を出したアナリストは、XDRに関する別のブログ記事で自分の意図を次のように述べています。「XDRはEDRの次の進化形態であり、最終的にはEDRに取って代わることを理解させるためです。予算の項目は引き続きEDRを示し、セキュリティチームは今なおEDRを求めているとしても、この事実に変わりはありません。」
大統領令、CDM、OMBのすべてが「XDR」ではなく「EDR」であると具体的に言及し、政府機関が現在EDRを検討しているとしても、将来を担うのは依然としてXDRであるという事実は変わりません。そうであれば、今すぐ行動を起こしませんか。Forresterのアナリストが述べているように、XDRへの移行は時間のかかる取り組みです。ゼロトラストへの移行も同じように時間のかかるタフな道のりですし、こちらにも政府機関は着手しなければなりません。
つまり、結論はこうなります。XDRは、EDRの要件を満たして余りあります。ご心配には及びません。私たちは、EDRソリューションでお客様をぜひとも支援したいと考えています。しかし、EDRソリューションを導入し、XDRプラットフォームが提供する機能が得られない場合は、ゼロトラストの取り組みがさらに長期化し、いっそうきびしいものになるおそれがあります。
加えて、損害を与えるおそれがある破壊的なサイバーセキュリティイベントに政府機関が見舞われたとき、レスポンスの基本機能または高度な機能をただちに利用したいと思いませんか。さらに重要なのは、エンドポイントの先を知るのに役立つツールです。これにより、ユーザー、システム、データの保護を強化して攻撃を予防することができます。
それがXDRです。
XDRの知識を深める
政府機関は、CDMプログラムを通じて弊社のCortex XDRソリューションにアクセスできます。Cortex XDRでは、EDR、アンチウイルス、ネットワークディテクション&レスポンス、ユーザーの行動分析、その他の各種機能が1つのシステムに統合されています。人工知能と機械学習を取り込み、エンドポイント、ネットワーク、クラウドの全体でイベントを関連付けて、全社規模の可視性をセキュリティチームに提供します。Cortex XDRの詳細をご覧ください。XDRについて詳しくはパロアルトネットワークス公共チームにお問い合わせください。