XDR(Extended Detection and Response)は、エンドポイントやメール、ネットワークといった複数のセキュリティレイヤを連携させることで、サイバー攻撃の発見から調査、対処までを一貫して行います。これまでバラバラに管理されていたセキュリティ情報を一つにまとめることで、まるで事件の全体像を解明するように、攻撃の手口を明らかにすることができます。
「脅威検知」において、SOC(Security Operation Center)のアナリストの仕事は、最初の侵入から横展開の移動(ラテラルムーブメント)、データ窃取までの全容をまとめ、その影響と必要な対応処置を迅速に理解することです。このプロセスにより、影響や必要な対応処置について迅速に理解することが可能になります。
また、XDRプラットフォームに多様な場所から情報を集め、それらをパズルのピースのように組み合わせます。集める情報が多いほど、この全体像がより正確に見えてきて、迅速な対応が可能になります。
例えば、セキュリティ担当者がパソコンでの不審な動きを可視化するEDRツールを使っていても、ネットワークの異常を知らせる警告はまた別の画面で見ている、というケースは少なくありません。これでは情報が分断されてしまいます。特に、クラウドワークロードに関しては、監視の目が届きにくく、何が起きているのか把握しきれないこともよくあります。
社内のIT環境のあちこちから、大量の警告メッセージが鳴り響き、それらが集約システム(SIEM)に送られてきます。担当者は一つ一つの警告を確認することはできますが、それぞれの警告の「間」で何が起きていたのか、詳細な活動の記録までは追いきれません。情報同士の関連付けがなければ、攻撃に関する重要な手がかりは、大量の警告の中に埋もれてしまいます。
XDRは、これらバラバラだった各レイヤの情報を一つに束ねます。これにより、セキュリティ担当者はより広い視野で状況を把握し、「従業員はどのようにウイルスに感染したのか」「最初の侵入経路はどこだったのか」「同じ攻撃の被害に遭っている人は他にいないか」といった、社内で起きている出来事を迅速に説明できるようになります。
脅威がどのようにしてパソコン等にたどり着き、形を変え、社内に広がっていったのかを分析するには、パソコン上での操作や活動を効率的に記録しておくことが不可欠です。XDRを使えば、攻撃者が残した「侵害の痕跡(IoC)」を探したり、「攻撃の痕跡(IOA)」を基に潜んでいる脅威をあぶり出したりできます。
検知:不審で危険なエンドポイント上でのイベントを調査し、特定します
調査:攻撃が「どこから来たのか」「他のパソコンにも広がっていないか」を追跡します
対応:感染したエンドポイントを隔離し、不審なプログラムを停止させ、ウイルスなどを削除・復元します
多くの組織では、まずEDRツールを使って調査を始めるでしょう。これは正しい第一歩ですが、攻撃の「始まり」と「終わり」を見逃してしまう可能性があります。
攻撃がエンドポイントに到達する「前」に、何があったのでしょうか?もしかしたらメール経由で侵入し、他の従業員も同じメールを受け取っていたかもしれません。では、エンドポイントに到達した「後」には、何が起きたのでしょうか?社内のサーバやクラウド環境にまで侵入を広げたでしょうか?あるいは、組織の管理下にない個人のデバイスにまで感染が広がった可能性はないでしょうか?
サイバー攻撃の94%がメール経由で始まっていることを考えると、乗っ取られたアカウントを特定したり、不正なメールに潜む脅威を検知したりする機能は、組織全体のセキュリティを強化する上で非常に重要です。
検知:メールの脅威、乗っ取られたアカウント、攻撃の標的になりやすい従業員、そしてメール攻撃のパターンを調査します
調査:「誰が標的か」「同じ内容の危険なメールを他に誰が受信しているか」を明らかにします
対応:危険なメールを隔離し、送信元をブロックし、乗っ取られたアカウントをリセットします
メールは最も狙われやすい侵入経路であるため、複数のセキュリティレイヤをまたいで検知・対応を行う上で、優先的に強化すべきポイントです。多くの場合、メールの脅威は、受信した人が添付ファイルを開いたりリンクをクリックしたりしない限り、エンドポイントに直接的な影響を及ぼしません。実行されていない脅威が、検知されないまま多くの人の受信トレイに潜んでいる可能性もあります。
エンドポイントでの検知情報と、その原因となったメールの情報を結びつけることで、受信トレイを自動的にスキャンし、「他に誰がこの危険なメールを受け取ったか」「不正なファイルやURLが他の人のメールボックスにも存在していないか」を突き止めることができます。その後、該当するメールを隔離・削除することで、被害の拡大を防ぐことが可能です。
社内ネットワークの分析は、標的型攻撃(apt)が横方向に拡散したりコマンド&コントロール(C&C)サーバと通信したりする過程を検知する優れた手法です。ネットワーク分析によって、大量の通信データの中から本当に重要なイベントだけをフィルタリングし、IoT機器(モノのインターネット)や管理対象外のデバイスなどの死角を減らすことができます。
検知:脅威が社内に広がっていく際の異常な動作を調査します
調査:攻撃者が「社内のどこに潜んでいるか」「何を狙っているか」を探ります
対応:攻撃が及んでいる範囲の概要を明らかにします
ネットワークの通信記録(ログ)は、攻撃の範囲を理解するのに役立つ包括的な情報源ですが、他のセキュリティ警告と関連付けなければ、何が重要で対処すべきことなのかを判断するための「文脈」がわかりません。例えば、ネットワークとエンドポイントの情報は強力な組み合わせです。そのデータを関連付けることで、エンドポイント上だけで見れば少し怪しい動き(不審なPowerShellの活動など)程度だったものが、サーバをC&Cと結びつけて考えると、最優先で対処すべきセキュリティ警告に変わります。
エンドポイントと同様に、この領域でも脅威の活動を効率的に記録し、脅威がどのようにしてサーバやクラウド環境に到達し、その中で広がっていったのかを分析する必要があります。攻撃者が残した「侵害の痕跡(IoC)」を探し、「攻撃の痕跡(IoA)」を基に潜んでいる脅威をあぶり出したりすることもできます。
検知:特にサーバ、クラウドサービス、コンテナなどを標的とする脅威を調査します
調査:重要なデータが保管されている場所で「何が起きたか」を詳しく分析します
対応:危険なサーバを隔離し、不審なプロセスを停止します
サーバやクラウド環境にEDRツールを導入している担当者もいるかもしれませんが、多くの場合、EDR単独では新しいクラウドの仕組みに最適化されておらず、必要な情報や可視性を提供できません。どのような攻撃経路であっても、サーバ環境からの情報を他のセキュリティレイヤ(エンドポイントやネットワークなど)からの活動データと結びつけることで、「これまで通信したことのない国のIPアドレスとサーバが通信している」といった不審な活動が、本当に悪意のあるものなのかどうかを裏付けることができます。
関連記事
Trend 2025 Cyber Risk Report
組織間の信頼関係を悪用する高度なビジネスメール詐欺(BEC)の手口とその対策
Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis
The Forrester Wave™: Enterprise Detection and Response Platforms, Q2 2024
It’s Time to Up-Level Your EDR Solution
レッドチームツールの悪用:「EDRSilencer」によるセキュリティ監視妨害
Modernize Federal Cybersecurity Strategy with FedRAMP
2025 Gartner® Magic Quadrant™ for Endpoint Protection Platforms (EPP)
The Forrester Wave™: Endpoint Security, Q4, 2023