This is the Trace Id: 8d13ed436160edd365a0706caaf50832
メイン コンテンツへスキップ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel すべての製品を表示 AI 搭載のサイバーセキュリティ クラウド セキュリティ データ セキュリティとガバナンス ID とネットワーク アクセス プライバシーとリスク管理 AI 対応のセキュリティ 中小規模企業 統合セキュリティ オペレーション ゼロ トラスト 価格 サービス パートナー Microsoft Security が選ばれる理由 サイバーセキュリティ意識向上 お客様導入事例 セキュリティ 101 製品試用版 業界での評価 Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security のブログ Microsoft Security のイベント Microsoft Tech Community ドキュメント 技術コンテンツ ライブラリ トレーニングと認定 Compliance Program for Microsoft Cloud Microsoft トラスト センター Service Trust Portal Microsoft セキュア フューチャー イニシアティブ ビジネス ソリューション ハブ 営業に問い合わせる 無料試用を開始する Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva 量子コンピューティング 教育機関 自動車 金融サービス 行政機関 医療 製造業 小売業 パートナーを探す パートナーになる パートナー ネットワーク Microsoft Marketplace Marketplace Rewards ソフトウェア会社 ブログ Microsoft Advertising デベロッパー センター ドキュメント イベント ライセンス Microsoft Learn Microsoft Research サイトマップの表示
タブレットを手に持っている人。

EDR とXDR: 違いは何ですか?

エンドポイントでの検出と対応 (EDR) と拡張検出と応答 (XDR) は、競合するセキュリティ ツールというよりも、同じ成熟度モデル上の異なる段階です。
EDR は、セキュリティ チームに、環境の重要な 1 層について深い可視性を提供します。XDR は、より多くの層に関する広範な可視性が提供されます。どちらのアプローチも本質的に優劣はありません。どちらを選択することが適切かは、環境の複雑さ、セキュリティ プログラムの成熟度、組織を狙う可能性が最も高い脅威によって異なります。
  • EDR はエンドポイント デバイスを保護します。一方、XDR は、セキュリティ スタック全体にその保護を拡張します。
  • EDR と XDR のどちらを選ぶべきかは、環境、成熟度、脅威プロファイルによって異なります。
  • AI とクロスレイヤーの可視性は、検出と応答テクノロジの未来を形成しています。

EDR と XDR とは何か、そしてその違いが重要な理由

エンドポイントでの検出と対応 (EDR)
エンドポイント (ノート PC、デスクトップ、サーバー、モバイル デバイス) は、これまでも攻撃者の主要な標的でした。IT 環境がより分散し、サイバー攻撃がより高度になるにつれて、エンドポイント攻撃面は大幅に拡大しています。すべてのリモート ワーカー、アンマネージド デバイス、新たな SaaS アプリケーションは、すべて潜在的な侵入経路です。

EDR ソリューションは、エンドポイント デバイスを継続的に監視および保護し、データを収集および分析して脅威を検出し、インシデント応答をサポートし、損害が拡大する前の脅威ハンティングを可能にします。Microsoft Defender for Endpoint などのソリューションは、セキュリティ チームが、デバイス資産全体の高度な脅威を検出して応答するために必要な可視性と AI 搭載の保護を提供します。

拡張検出と応答 (XDR)
残念ながら、エンドポイント攻撃がエンドポイントに留まることはほとんどありません。脅威アクターは、フィッシング詐欺メールから始まり、侵害された ID を介してピボットし、最終的にはクラウド インフラストラクチャまたは機密データ ストアに到達するなど、環境間で横移動する傾向が強くなっています。EDR だけでは、環境のレイヤーのうち 1 層しか見えないため、この種のマルチベクトル プログレッションを見逃すことがあります。

XDR ソリューションは、EDR によって提供される基盤に基づいて構築され、エンドポイントを超えて保護の範囲を広げます。エンドポイント、メール、ID、クラウド ワークロード、SaaS アプリなど、複数のセキュリティ ドメインにわたるシグナルを集計して、環境の全体像を提供します。Microsoft Defender XDR は、このアプローチの一例であり、複数のセキュリティ レイヤーのデータを関連付け、他の方法では見逃される脅威を表面化します。

誤解がないように明確にすると、XDR は EDR を完全に置き換えるものではありません。これは、EDR のコア機能をより広いセキュリティ領域に拡張する概念の進化です。実際、多くの XDR プラットフォームが EDR 機能の上に構築されています。どちらソリューションも脅威を検出して応答しますが、動作する規模が大きく異なります。EDR と XDR の違いを理解することで、環境に合ったセキュリティ戦略を構築できます。

EDR とXDR: ディープ フォーカス対ワイド レンズ

EDR のしくみ
エンドポイント レベルでは、EDR は軽量のエージェントをデバイスに直接展開することで機能します。これらのエージェントは、システム アクティビティ、プロセス、ファイルへの変更、ネットワーク接続、およびユーザーの動作に関するデータの収集し、継続的に監視します。疑わしいと思われることが見つかると、システムは調査用にフラグを立てたり、影響を受けるデバイスをネットワークから分離したりするなど、自動応答をトリガーします。その後、セキュリティ チームはフォレンジック データを詳しく調べ、何が起こったか、どの程度広がっているか、そして再発を防ぐ方法を把握できます。

XDR のしくみ
XDR は、同様の検出と応答のロジックをセキュリティ スタック全体に適用します。XDR は、エンドポイント テレメトリのみに依存するのではなく、複数のソースから同時にデータを取り込みます。その後、メール システム、ID プロバイダー、クラウド プラットフォーム、SaaS アプリのデータを統合して、アラートに関連付け、ドメインごとに異なるツールを管理することに伴うノイズを軽減します。

EDR が 1 台のワークステーションで疑わしいプロセスを検出する一方、XDR は、そのイベントを 1 時間前に受信したフィッシングにメールと、通常とは異なる場所からの失敗したログイン試行に関連付けられます。

同じ基盤上に構築、異なるスケール向けに設計

スコープの違いはあれど、EDR と XDR は同じコア原則に基づいて構築されています。どちらのソリューションも、次の 4 つの基本的な機能を中心に設計されています:
 
  • 脅威検出: EDR と XDR は、データを継続的に分析し、疑わしいアクティビティと既知の攻撃パターンを識別します。脅威がエスカレートする前に把握するために必要な可視性をセキュリティ チームに提供します。
  • インシデント応答: 脅威が確認されると、どちらのソリューションで迅速な応答をサポートし、封じ込め、滞留時間を短縮し、組織に対する潜在的な損害を最小限に抑えます。
  • リアルタイム監視: スコープが 1 つのエンドポイントであろうと、セキュリティ スタック全体であろうと、EDR と XDR は、いずれも 24 時間体制でシステム アクティビティを観察し、事後ではなく、発生と同時に異常にフラグを立てます。
  • AI と機械学習: どちらのソリューションも、AI 搭載の分析を使用して、ルールベースのシステムでは見逃す可能性がある脅威を検出します。これらのモデルは、新しいデータから継続的に学習し、時間の経過と共に検出精度を向上します。
これらの共有機能を理解すると、EDR とXDR を比較する際に重要な観点から捉え直すことができます。どちらを選ぶかは、片方にしかない機能があるかどうかではありません。スコープ、スケール、およびそれぞれが組織固有のセキュリティ ニーズにどの程度適合するかが重要です。

EDR と XDR を分ける 4 つの観点

EDR と XDR の基盤は共通ですが、実践する際には 4 つの重要な観点で異なります:
 
  • 検出のスコープ: EDR は、エンドポイント デバイスの監視および保護に特化して構築されています。XDR は、電メール、ID、クラウド ワークロード、ネットワーク インフラストラクチャなどの追加のセキュリティ レイヤー全体にわたってそのスコープを拡張し、脅威が複数のドメイン間で移動する環境に適しています。
  • データ ソース: EDR はエンドポイント テレメトリから飲みデータ取得し、チームにデバイス レベルのアクティビティに関する詳細な分析情報を提供します。XDR はセキュリティ スタック全体からデータを取り込み、複数のソースからのシグナルを全体像に関連付けます。これは、サイロ化するツールでは実現するのが困難です。
  • 自動応答: どちらのソリューションも自動化をサポートしていますが、リーチが異なります。EDR は、侵害されたデバイスの分離など、エンドポイント レベルでの応答を自動化します。XDR は、セキュリティ スタック全体の応答を自動化し、メール、ID、クラウド、SaaS アプリ、エンドポイント間で調整されたアクションを同時に実行できます。
  • スケーラビリティ: XDR は本質的に、複雑な多層環境全体でスケーリングするように設計されています。EDR はエンドポイント ドメイン内で適切にスケーリングされますが、組織の成長に合わせて、その層を超えるセキュリティ ニーズに対応するために追加のツールが必要になる場合があります。

EDR が十分である場合と、XDR が必要な場合を見極める方法

XDR とEDR のどちらを選択するかは、より高度なツールを選択することではありません。重要なのは、組織の現在地と、向かおうとしている方向の両方に一致するソリューションを見つけることです。適切な答えは、規模、セキュリティ成熟度、脅威への露出の複雑さによって異なります。

EDR が適しているのは、次のような場合です:
 
  • セキュリティの優先事項がエンドポイントの保護中心である。
  • お使いの環境は、クラウド プラットフォーム、リモート ID、または複雑なネットワーク インフラストラクチャに大きく分散していない。
  • セキュリティ チームが少人数で、分散したマルチドメイン ビューよりも、集中的で管理可能な可視性を必要としている。
  • セキュリティ成熟度の初期段階にあり、スコープを拡張する前に強力なエンドポイント セキュリティ基盤を確立したいと考えている。
  • 予算の制約により、対象を絞ったソリューションがより現実的な出発点である。
XDR が適しているのは、次のような場合です:
 
  • 環境が、クラウド ワークロード、メール システム、リモート ID など、複数のセキュリティ ドメインにまたがっており、それらのドメイン間を横方向に移動する脅威が現実的な懸念事項である。
  • セキュリティ チームが、複数の個別ソリューションの管理によるアラート疲れを起こしており、シグナルを関連付け、応答に優先順位を付けるための統合プラットフォームが必要である。
  • 組織に、複数のドメインにまたがる可視性を効果的に運用できるセキュリティ成熟度と運用能力がある。
  • エンドポイントを超えた自動応答機能が必要である。
実装時の考慮事項
進もうとしている方向に関係なく、両方に適用される実装手順がいくつかあります:
 
  • 主要な利害関係者を早期に関与させる。セキュリティ戦略は、孤立して存在するものではありません。選択したソリューションを組織のより広範な目標に合わせるには、セキュリティ チームだけでなく、ビジネス リーダーからの意見も必要です。
  • 概念実証 (POC) テストを実行する。本格的に導入する前に POC テストを実行すると、環境固有のギャップを表面化し、ソリューションが机上だけでなく実際にそれらに対処できるかどうかを確認できます。
  • 既存のセキュリティ スタックを評価する。EDR または XDR が現在のツールにどのように適合するかを理解すると、統合時の摩擦が軽減され、冗長性やカバレッジのギャップを回避しやすくなります。
  • チーム トレーニングを早期に計画する。稼働前に新しいプラットフォームに慣れていると、ロールアウト中のエラーが減り、チームはソリューションからより迅速に価値を得ることができます。
また、EDR とXDR の選択は永続的である必要もありません。多くの組織は、まず EDR から始めて強力なエンドポイント セキュリティ基盤を構築し、環境が複雑になり、脅威への露出が広がるにつれて、XDR に移行します。これは自然で一般的な進め方であり、計画の失敗ではありません。

個別のツールを超えて、統合されたサイバーセキュリティ戦略を検討している組織向けに、Microsoft Sentinel は Microsoft Defender XDR と統合し、SIEM と XDR の機能を 1 つのプラットフォームにまとめると共に、セキュリティ チームが環境全体で一元化された可視性、調査、応答を提供します。

3 つの現実世界でのシナリオで見る EDR と XDR の動作

実践での EDR: 拡散する前に脅威を封じ込める
少人数のセキュリティ チームを持つ中規模の金融サービス会社では、従業員を標的にしたフィッシングの試みが増加していました。EDR を展開した後、チームは組織全体のエンドポイント アクティビティをリアルタイムで可視化できるようになりました。フィッシング メールが 1 台のワークステーションでマルウェアのダウンロードにつながった際、EDR ソリューションは、ほぼ即座に異常なプロセス動作にフラグを立てました。セキュリティ チームは、このデバイスを分離し、インシデントを調査し、他のエンドポイントに横方向に移動したり、機密の財務データに到達したりする前に脅威を封じ込めることができました。

実践での XDR: 高度なマルチドメイン攻撃の停止
ハイブリッド クラウド環境を運用しているグローバル小売企業は、より複雑な課題に直面していました。攻撃者は、侵害されたメール アカウントを通じてアクセスし、クラウド ワークロードに向けて横方向に移行し始めました。小売業者は Microsoft Defender XDR を含む XDR プラットフォームを展開していたため、ソリューションはメール、ID、クラウド レイヤー間でシグナルを同時に関連付けしていました。横移動が始まると、自動応答がプラットフォームによってトリガーされ、攻撃が重要なシステムに到達する前に、影響を受けたすべての領域で脅威を封じ込めました。

EDR と XDR が連携する場合
ハイブリッド環境を管理する医療機関が、協調攻撃に晒されています。フィッシングメールが従業員の資格情報を侵害し、接続されたエンドポイントにマルウェアがデプロイされ、攻撃者がクラウドでホストされている患者データのプローブを開始しています。EDR は侵害されたエンドポイントを検出して分離し、XDR はフィッシング シグナル、ID 侵害、クラウド アクティビティを 1 つの統合アラートに関連付けます。2 つのソリューションを組み合わせることで、セキュリティ チームは攻撃の全体像を把握し、影響を受けるすべての領域に対して同時に対応できます。この種の協調防御は、次のような脅威に対して特に有効です:
  これらのシナリオでは、EDR の深いエンドポイントの可視性と XDR のクロスドメイン相関が相互に補完し合い、セキュリティ チームによる包括的で連携した防御を実現します。

検出と応答テクノロジが向かう先

脅威の状況は停滞することはありません。幸いなことに、それに対抗するように設計されたツールも立ち止まることはありません。検出と応答テクノロジが今後どの方向に進むかを左右する重要な変化がいくつかあります。

AI はセキュリティ チームの働き方を変えています
AI と機械学習は既に EDR と XDR の両方の中核ですが、その役割は拡大しています。セキュリティ チームは、終わりのないアラート キューを手作業でトリアージするのではなく、最も重大な脅威を可視化し、対応アクションを推奨し、アナリストが最も重要な箇所に集中できるようにする AI 搭載のワークフローへと移行しています。主導権を握っているのはまだ人間ですが、AI によって同じチームでより多くのことを実行できるようになっています。

XDR、SIEM、および SOAR が収束しつつあります
現在進行中の最も大きな変化の 1 つは、セキュリティ情報イベント管理 (SIEM)セキュリティ オーケストレーション自動対応 (SOAR) 機能を備えた XDR への収束です。従来、これらは個別のワークフローを必要とする個別のツールでした。最新のセキュリティ プラットフォームでは、XDR、SIEM、および SOAR を 1 か所の統合環境にまとめ、検出、調査、応答をそれぞれ 3 か所ではなく 1 か所で実行できるようになっています。これにより、AI 搭載セキュリティ オペレーション センター (SOC) モデルが生まれています。このモデルでは、自動検出とオーケストレーションされた応答が連携して、脅威を特定してからそれを封じ込めるまでの時間が短縮されます。

ID とクラウドが攻撃面を再構築しています
ID とクラウドも脅威の状況を再構築しており、クロスレイヤーの可視性がますます重要になっています。組織のクラウド フットプリントが拡大し、従業員がリモートで業務を続ける中、ID は現代の脅威の状況で最も標的にされやすい攻撃ベクトルの 1 つになっています。攻撃者はもはや境界を侵害する必要がなくなりました。1 つの資格情報を侵害するだけで、環境全体を横方向に移動できることがあります。主要な攻撃面として ID とクラウドを考慮しないセキュリティ戦略は、そのカバレッジに大きなギャップを残してしまいます。

セキュリティ チームがよりスマートに作業できるように支援する

機能の統合が将来のサイバーセキュリティで最も重要なことです。 Microsoft Defender XDR はそのことを念頭に置いて構築されています。エンドポイント、メール、ID、クラウド全体のシグナルを関連付けることで、個別のポイント ソリューションを管理するよりも迅速に脅威を検出して対応するために必要な統一された可視性をセキュリティ チームに提供します。

さらに前に進めたいと考えている組織向けに、Microsoft Defender XDR は Microsoft Sentinel とネイティブに統合され、XDR と SIEM の機能が 1 つの環境に統合されます。セキュリティ チームは、一元的な可視性、AI 搭載の調査、環境全体での調整された応答を実現できます。これらのツールを組み合わせることで、ツールの広がりを減らし、減速することを知らない脅威の状況を組織が常に先取りできます。

よく寄せられる質問

  • EDR は、アクティビティを監視し、デバイス レベルで脅威に対応することで、ノート PC、サーバー、モバイル デバイスなどのエンドポイント デバイスを保護します。XDR は、セキュリティ スタック全体にその保護を拡張します。エンドポイント、メール、ID、クラウドからのシグナルを関連付けて、レイヤーをまたいで移動する脅威を検出します。SOAR は両方と並行して動作し、検出の後に続く応答ワークフローを自動化および調整します。
  • XDR は、拡張検出と応答の略です。EDR に基づいて構築されており、エンドポイント、メール、ID、クラウド ワークロード、ネットワーク インフラストラクチャなど、複数のセキュリティ ドメイン全体で脅威データを集計して関連付けます。これにより、セキュリティ チームは、これはエンドポイントに焦点を当てたツールでは得られない、環境のより広範かつ統一的なビューを得ることができます。
  • どちらか一方が常に優れているわけではありません。環境とセキュリティの成熟度によって異なります。EDR は、エンドポイント レベルでの深く、集中した保護に優れ、セキュリティへの取り組みの早い段階にある組織に適しています。XDR は、脅威がレイヤー間を横方向に移動し、効果的な検出と対応のために統合ビューが不可欠な複雑なマルチドメイン環境に適しています。
  • EDR は、個々のエンドポイント デバイスを監視して保護し、デバイス レベルで脅威を検出して応答します。XDR は、その機能をセキュリティ スタック全体に拡張し、エンドポイント、メール、ID、クラウドからのシグナルを統合されたアラートに関連付けます。SIEM は、脅威の検出とコンプライアンスをサポートするために、環境全体のログ データを集計して分析します。最新のセキュリティ プラットフォームでは、3 つすべてを 1 つの統合された環境にまとめます。

Microsoft Security をフォロー

日本語 (日本) コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について