による
の上
XDRの設計には、主にネイティブXDRとハイブリッドXDRという2つのアプローチがあります。ここでは、組織がどちらのアプローチを採用すべきかを判断する際に役立つよう、この2つの違いについて説明します。
CrowdStrike プロダクトマーケティング シニアマネージャー Anne Aarness 著
拡張検出および対応 (XDR) の概念は近年普及してきましたが、多くのセキュリティ プロフェッショナルは、フレームワークの内容、XDR の機能、またはそれがより広範なセキュリティ戦略にどのように適合するかを完全に理解していない可能性があります。
XDRは、企業環境全体にわたってサイロ化されたセキュリティツールの価値を統合するという切実なニーズから生まれました。サイバー攻撃がより高度化し、セキュリティソリューションからのアラートが増加するにつれて、組織はセキュリティツールを連携させる必要に迫られています。ITセキュリティエコシステム全体のシステムとアプリケーションからテレメトリを取り込むことで、防御側は可視性を向上させ、エンドポイントを超えたインシデントをより迅速に検知・対応できるようになります。
エンドポイント検知・対応(EDR)を基盤とするXDRは、エンドポイント、クラウドワークロード、ネットワーク、メール、その他の資産からセキュリティテレメトリを収集し、その情報をフィルタリングして単一のコンソールに集約します。セキュリティチームのセキュリティ分析、脅威検出、調査、修復を統合・効率化することが目標ですが、その実現には複数の方法があります。
ネイティブ XDR とハイブリッド XDR: 違いは何ですか?
XDR を設計するための主なアプローチは、ネイティブ XDR とハイブリッド XDR の 2 つであり、それぞれクローズド XDR とオープン XDR と呼ばれることもあります。
ネイティブXDR:単一ベンダーによるロックイン
ネイティブXDRアーキテクチャ上に構築されたソリューションは、同一のセキュリティプロバイダーが提供する複数のセキュリティツールを活用し、オールインワンのXDRプラットフォームを形成します。ネイティブXDRは、いくつかの理由から一部のセキュリティチームにとって魅力的です。例えば、ベンダーが様々なコンポーネントを完全に統合していれば、多数のばらばらのツールを統合する必要性を軽減することで、構成の複雑さを最小限に抑えることができます。購入プロセスもシンプルで、XDRを実装するために複数のベンダーから製品を購入する必要がありません。ネイティブXDRでは、信頼できる単一のベンダーと連携して、多様なツールセットを管理できます。
しかし、このアプローチには欠点があります。ベンダーロックインは大きな問題です。ネイティブXDRは、組織を1つのプロバイダーに完全に依存させてしまいます。既存のツールが選択したXDRベンダーのものでない場合、それらを置き換える必要があり、これはコストと複雑さを伴います。一度ベンダーロックインされると、後々ベンダーを変更する際の判断は、さらにコストと複雑さを増すことになります。
ネイティブXDRは単一ベンダーへの依存を必要とするため、リスクが増大します。単一のベンダーがITセキュリティエコシステム全体にわたって十分に強力な保護を提供できる可能性は低いでしょう。その結果、追加の検出機能を階層化する必要が生じますが、大きなメリットは期待できません。今日の攻撃者から保護するために必要な、クラス最高のセキュリティ技術をすべて提供できるベンダーは1社もありません。高品質なXDR検出を実現するには、高品質なツールとデータが不可欠です。
これらの理由から、多くの組織はより強力な防御を実現するために、オープン XDR またはハイブリッド XDR に注目しています。
ハイブリッドXDR:選択の俊敏性
ハイブリッドXDRは、重要な脅威データを保持する関連セキュリティシステムとITシステムからのテレメトリを統合し、クロスドメインの脅威検知と対応を統合ワークストリームに集約します。このアプローチにより、セキュリティチームは使用するツールを柔軟に選択できる俊敏性を獲得し、既に投資しているシステムとアプリケーションを継続的に活用できるようになります。
ハイブリッドXDRモデルは、組織のセキュリティエコシステム全体にわたる検知・対応活動を管理・調整するために、依然としてコアプラットフォームに依存しています。このプラットフォームは、多様なデータセットをシームレスに取り込み、理解し、有用な検知結果を生成し、アナリストがクロスドメインアラートを効率的にトリアージ、調査、対応できるよう提供する必要があります。ハイブリッドXDRは通常、ネットワーク検知・対応(NDR)、次世代ファイアウォール(NGFW)、メールセキュリティゲートウェイ、アイデンティティ・アクセス管理(IAM)、クラウドワークロード保護プラットフォーム(CWPP)、クラウドアクセスセキュリティブローカー(CASB)など、幅広いツールとの統合を実現します。
両方の長所を兼ね備えた、最も効果的なセキュリティスタック
あなたのビジネスにとって、どちらのアプローチがより良いでしょうか?
ネイティブXDRは一見シンプルに見えますが、単一のベンダーに縛られるために複数のツールを置き換える必要があり、選択したプロバイダーがニーズを完全に満たさない場合、サイバー防御のカバレッジ不足につながる可能性があります。しかし、ハイブリッドXDRは、堅牢で使いやすいプラットフォームと、最高クラスの製品群の組み合わせを提供することで、両方のメリットを兼ね備えています。
ハイブリッドXDRは、複数のベンダーのツールを継続的に活用し、新しく革新的なテクノロジーが登場するたびに統合することを可能にします。XDRを実装するのであれば、XDRの本質である拡張された検知と対応、つまりEDRを中核基盤として提供するプラットフォームを選択する必要があります。エンドポイントセキュリティは、ネイティブXDRとハイブリッドXDRのどちらを成功させるにも不可欠です。エンドポイント検知と対応を基盤とするプラットフォームは、XDR戦略を構築するための強固な基盤となり、エンドポイントを超えて可視性、検知、対応を拡張し、最終的には企業全体の保護を強化します。
XDR が業界をリードする拡張検出および対応をどのように実現するかについて詳しくご覧ください。
