新しい脅威検知／レスポンス技術「XDR」とは何か――IDCが「MDR」と対比して解説：テレメトリーを活用した検知精度向上が重要に

サイバーセキュリティ市場で存在感を増しているXDR技術について、IDCが公式ブログで解説した。XDRはMDRの一種だが、一般的なMDRよりも幅広いテレメトリーデータを扱う。ただし、マネージドサービスを含まない場合があるという。

　IDCは2021年3月18日（米国時間）、公式ブログにおいてサイバーセキュリティ市場で存在感を増している技術である「Extended Detection and Response」（XDR）を取り上げて解説した。IDC インフラストラクチャサービス シニアリサーチアナリストのマーサ・バスケス氏による解説だ。

XDRはMDRに含まれる

　IDCによれば多くのセキュリティ製品ベンダーが独自のXDR製品を開発、提供している。XDRと似た既存技術としては、「Managed Detection and Response」（MDR）がある。

　MDRは、「マネージドセキュリティサービス」（MSS）の一種だ。MSSはツールや技術、手続き、方法論を組み合わせ、サイバーセキュリティライフサイクル全体にわたる機能をサービスプロバイダーが企業に提供するもの。

　サービスプロバイダーは顧客が利用している既存機能と、サイバーセキュリティパートナーから供給されるツールやサービス、自社の知的財産を組み合わせて、MDRサービスをデプロイ（展開）できる。MDRサービスには、サイバーセキュリティスタッフの常駐による24時間週7日のセキュリティオペレーションセンター（SOC）サービスが含まれる。

　XDRは通常、さまざまなソースからテレメトリーデータを取り込み、相関させる。MDRプロバイダーは、「Endpoint Detection and Response」（EDR）や他のセキュリティアプライアンスの機能を、サービスとともに提供することからスタートしたが、今ではほとんどのMDRプロバイダーが、さまざまなソースからテレメトリーデータを取り込み、迅速なインシデントレスポンスを障害軽減機能とともに提供するようになっている。

　IDCの指摘はこうだ。XDRはメッセージングやネットワーク、クラウドといったテレメトリーデータを取り込むが、サービスの観点から見ると、名前に「X」（eXtended：拡張）が付くことから、MDRと比べて、より多様なテレメトリーデータを取り込めるという特徴がある。ただし、XDRはあくまでMDRカテゴリーに属しているという。

XDRには含まれない機能とは

　製品ベンダーやマネージドセキュリティサービスプロバイダー（MSSP）が、MDRとXDRという用語を同列に扱う場合があることに、IDCは注意を促している。マネージドセキュリティサービスとしては、同じセキュリティ制御機能やツールの組み合わせが、MDRやXDRと見なされる可能性がある。