XDRとは「Extended Detection and Response」の略で、パソコンやスマートフォン（以下、スマホ）などのエンドポイントだけでなく、メールやサーバー、クラウド、ネットワーク全体のデータを収集し相互に関連付けることで、高度なサイバー攻撃を検知し、対応するという、新しいセキュリティ手法の概念である。XDRのベースとなったのが、EDR（Endpoint Detection and Response）とNDR（Network Detection and Response）というセキュリティソリューションである。

侵入を前提としたセキュリティソリューション「EDR」

EDRは基本的に、エンドポイント対策のセキュリティソリューションである。従来型のアンチウイルスソフトといったEPP（Endpoint Protection Platform）はマルウェアの侵入を未然に防ぐことを目的としているのに対して、EDRはシステムへのマルウェア侵入を前提に、検知やその後の対応、復旧にフォーカスしていることが特徴だ。

EDRではエンドポイントを常時監視し、ログを取得する。取得されたログデータはサーバーに送られ、サーバー上で解析される。このプロセスでマルウェアと疑われる挙動が検出されると、その旨を管理者に通知し、対象のファイルを速やかに隔離する。EDRは被害の最小化を目指すソリューションであり、従来のEPPよりも一歩進んだ対策と言える。

ネットワークトラフィックを監視する「NDR」

NDR（Network Detection and Response）は、社内ネットワークを流れるトラフィックを常時、かつ包括的に監視することで、既知や未知のマルウェアにリアルタイムで対応するセキュリティソリューションだ。NDRを導入することで、外部からの攻撃だけでなく、従業員による内部からの意図的な情報漏えいなども検出できるため、内部不正の防止にも役立つ。

「EDR」＋「NDR」を統合した「XDR」

EDRとNDRでは監視する領域が異なることから、両者を統合すれば、より包括的なセキュリティ対策となり得る。それを実現したのがXDRというセキュリティソリューションだ。XDRでは複数の領域のセキュリティソリューションを統合的に管理することで、企業全体のリスク要因を監視、可視化する。単独のセキュリティソリューションでは検知が困難とされる高度なサイバー攻撃を可視化することで、迅速かつ効率的な防御や対策が可能となるのだ。

XDRはサーバー、メール、エンドポイント、ネットワークなど、さまざまな領域のデータを収集し、相関分析することで、従来よりも迅速かつ効率的に脅威の優先度を見極め、分析を進めることができる。また、エンドポイントやネットワークなどのログを1つのコンソールで確認でき、全体の状況をスムーズに把握できることから、セキュリティ対策を集約し、1ヶ所で管理できるようになるのがXDRの最大のメリットだと言えるだろう。加えて、XDRの導入により、複数のセキュリティ機器やサービスの情報を自動的に関連付けて脅威を検知することも可能だ。

XDRの導入はマルウェアからの保護や検知能力の向上が期待できるのはもちろんのこと、脅威の監視・分析の一元管理を実現することで、結果的に組織内の生産性向上にも寄与する。サイバーセキュリティにおいて、インシデントレスポンスという概念も浸透し、脅威による被害を最小限に抑制することにセキュリティ対策がシフトする中で、XDRのようなソリューションが注目されているのだ。