*本記事は自動翻訳です。詳細は英語版をご確認ください。
XDR (Extended Detection and response) の台頭は、脅威の検知、調査、レスポンス を総合的に行うセキュリティ情報およびイベント管理 (SIEM) 技術の検証であり、また非難でもある。
これは、攻撃のライフサイクル全体にわたって複数のシグナルを集約することが基本的に正しいという中心的なテーゼを強調するものであり、検証である。 しかし、同じ問題を解決する第二の市場カテゴリーが出現したことで、既存のアプローチが有効でないことを知る手がかりとなるため、これは告発でもある。
市場が強い関心を示しているのは明らかだが、XDRの有望性はどこまで誇大広告に過ぎないのだろうか?
XDRダンスにパートナーを招待する前に、自分たちがどんな状況にあるのかを知っておきたいと考えるバイヤーは、XDRスペースのほぼすべてのベンダーが隣接市場から参入してきたことを認識するのがよいだろう。
バイヤーは、XDRベンダーが主に4つの分野から参入していることを認識しておく必要がある。
SIEMとXDR:変革か、見た目を変えただけか
SIEMベンダーにとって、XDRベンダーとしてリブランディングするインセンティブは大きい。 大手のような市場シェアを持たない中小企業にとっては、新たなトレンドに軸足を移して再挑戦するチャンスです。
しかし、SIEMの多くが高価なログコレクターに過ぎず、脅威を検知するものではないことに気づけば、有力企業にとっても、既存のソリューションからのリブランディングは大きな意味を持ち始める。
XDRの台頭は、特にベンダーが基礎となるテクノロジーに何らかの重要な改良を加えた場合、新たな息吹を吹き込む機会となる。
SIEM ベースの XDR ソリューションを検討しているバイヤーは、根本的に何かが変わったのか、それとも単に新しいペンキを塗っただけなのかを検討する必要があります。 SIEMベンダーとXDRの道を歩む場合、購入するよりも構築することに大きなバイアスがかかります。
このテクノロジーを運用するための広範なソフト・コストに余裕のある、あるいは、より目的に特化したソリューションではカバーしきれない特注のユースケースを持つ、十分な資金力のあるバイヤーにとっては、これはまだメリットがあるかもしれない。
XDRにおけるEDRの影響力:従来の枠を超えた拡大
Endpoint Detection and Response (EDR)ベンダーや業界アナリストのインセンティブを考えれば、XDRをEDR++と定義することが支持されるのは理解できる。
EDR 企業自身は、株主を満足させるために成長を見出す必要があり、要求事項の段階で競争相手を失格にすることで、新たなパイを分割することが容易になる。 一方、業界アナリストのゲートキーパーは、神経質な既存のSIEMベンダーをなだめる必要があり、XDRカテゴリーの創設は、EDR陣営とSIEM陣営の間の平和を保つための一時的な手段かもしれない。
EDRは従来の脅威検知の多くに有用なシグナルを提供するが、企業の資産やサービスの約70%がEDRエージェントを実行しないことを考慮すると、XDRアプローチでEDRを偏重することの問題が明らかになる。 現代のハイブリッド企業が、クラウド、アイデンティティ、SaaSアプリ、さらにはOT/IoTネットワークへの脅威に直面しているのであれば、すべての侵害がEDR対応エンドポイントの侵害に関与していると考えるのは、約10年遅れていることになる。
EDRベースのXDRソリューションを追求するバイヤーには、考慮すべきことが2つある: EDRの性能そのものと、他のシグナルの集約と相関である。 優れたEDR性能は優先されるべきであるが、完全なシグナルエコシステムの説得力のある取り扱いを排除してはならない。
もし、EDRとSIEMのようなものがボルトで固定されただけのようなイメージが浮かび上がってきたら、あなたのスパイダーセンスは疼くはずであり、SIEMベースのXDR購入者に対するこれまでのガイダンスはすべて適用される。
サービスベースのXDRソリューション人的要素
彼らはXDRが達成しようとする成果を見て、価格が適正であれば、その成果が技術によって達成されるか、人によって達成されるかは二の次だと主張した。
率直に言って、これは非常に理にかなっており、多くの買い手にとってXDRソリューションがマネージド・サービスとして提供される理由の一つである。 これが少し問題になるのは、論文ではなく実行である。
多くのバイヤーは、マネージド・セキュリティ・ソリューション・プロバイダー (MSSP) が、サービス品質に実質的な改善がないまま、一夜にしてマネージド検知とレスポンス (MDR)プロバイダーに変身するよう奨励された時のことを思い出すだろう。
魅力的なコストで有能なプロバイダーとサービスベースのXDRソリューションを追求するバイヤーは、その先に多くのアップサイドが待っているかもしれない。
残念なことに、有能なサービス・プロバイダーを見つけるのは、マジック・クアドラントをチェックするほど簡単ではないし、サービス・プロバイダーの能力に魅力を感じるバイヤーの中には、成果の質を効果的に測定する成熟度を欠いている者もいる。
ここでバイヤーは、リスクをどのように軽減するかを定量的に明確に定義し、クロスチェックとして定期的なノーノーティス・レッドチームを実施することに関しては、攻勢に転じ、ベンダーの足元を固めるべきである。
ネットワーク、アイデンティティ、クラウドXDRへのアプローチ
最後に、プラットフォーム・ポートフォリオに複数の脅威検知シグナルが含まれ、全体が部分の総和よりも大きいことを認識していたクラスのベンダーがいる。
Network Detection and Response (NDR)、Cloud Detection and Response(CDR)、Identity Threat Detection and Response (ITDR)、そして侵入検知システム (IDS) 技術を実行しているレガシー次世代ファイアウォール (NGFW) 企業も、すべて脅威検知シグナルに貢献することができる。
このカテゴリーは、レガシーSIEMベースのアプローチと最も対照的な傾向があります。これらのベンダーは、基礎データとストリーミング分析が緊密に結合された、専用に構築された脅威検知を行う傾向があるからです。
ネットワーク、ID、クラウドをベースとしたXDRソリューションを追求するバイヤーは、幅広い可視性、使いやすさ、Time-to-Valueに関連するメリットを享受する傾向がある。
これは従来のSIEMとは対照的ですが、トレードオフを考慮する必要があります。最も一般的なユースケースはカバーされますが、特注のユースケースやロングテールのユースケースはカバーされない可能性があります。 そのような場合は、自分でこれらのユースケースのいくつかをロールバックする必要があるかもしれない。
一部のバイヤーにとっては、SIEMを完全に置き換えることは現実的ではないことを意味する。たとえSIEMで追求されていたユースケースの多くがXDRにオフロードできるとしても。 さらに、クローズド・エコシステムとオープン・エコシステムには大きな違いがある。
XDRのメリットを享受するためには、ベンダーのエコシステム全体と二流のEDRエージェントを必要とする。
結論サイバーセキュリティの未来におけるXDRの位置づけ
上記は、XDRの旅で何を期待すべきかについての洞察を提供するかもしれないが、最終的な決定者であるバイヤー自身がこのトピックを明確にするまでには、まだカバーしなければならない領域がたくさんある。
とはいえ、この間の潜在的な混乱や意見の相違にもかかわらず、脅威の阻止に関心を持つすべての人々にとって勝利となる点が1つある。市場カテゴリーとしての XDR の台頭は、サイバーセキュリティによるレジリエンスの追求における成熟の重要なポイントを示している。
これは、予防に重点を置いたセキュリティの高価な失敗を乗り越えることが主流になったことを示すものだ。結局のところ、これは誰もが喜ぶべきことなのだ。
Vectra AIプラットフォームがお客様のXDR戦略にどのような革命をもたらすかをご覧ください。レジリエンスを再定義し、サイバーセキュリティゲームで優位に立つために、当社と連携してください。