この3つのポイントを実現し、検知・対応の改善を図るカギとして注目されているのがXDR(Extended Detection and Response)である。XDRはエンドポイント、ネットワーク、クラウドなど広範囲に及ぶシステム全体を監視対象とし、現在はもとより将来の脅威を検知し自動的に対応するソリューションだ。
それではXDRは、どのように広範囲を監視し脅威を検知するのだろうか。
ポイントとなるのは、ユーザーの利用状況のデータである「テレメトリデータ」だ。例えば、エンドポイントを例に取ると、IDアドレス、コマンド、ファイルに関する情報、ネットワーク接続、レジストリなどがテレメトリデータに相当する。テレメトリデータは、いわば各システムを観測するためのデータといえる。XDRは、マルチベンダー環境を含めた様々なシステムからテレメトリデータを収集・相関分析を行った上で、真の脅威を検知し自動的に対応する。
テレメトリデータから真の脅威を見つけ出すためには、脅威に対する膨大な情報が必要となる。脅威の活動の仕方、痕跡の残し方、攻撃者の意図や能力などを知らない限り、脅威を検知することはできないからだ。そのためXDRではテレメトリデータに加え、脅威インテリジェンス(専門家が分析を行う際に利用するサイバー攻撃に関する情報)を活用する。これにより、単体のテレメトリデータで異常はなくても、複数のテレメトリデータの組み合わせによる脅威検知や、脅威のプロアクティブな検知が実現できるという。
XDRのメリットは、これだけにとどまらない。サイバーセキュリティの大きな課題である人材不足の解消にもつながるという。XDRは膨大なアラートへの最適化を実現し、また、自動化によりマニュアル作業からSOCアナリストを解放する。これにより、SOCアナリストは、本当に対処するべきアラートへの対応や、サイバー攻撃が発生した際の対応・管理を体系化するインシデントレスポンスなどに注力できるようになる。
ファイア・アイでもXDRを提供している。その特長は、エンドポイント、ネットワーク、メール、サードパーティセキュリティを包括的に統合するSaaSベースの脅威検知・対応プラットフォームである点だ。近年のユーザーのシステム環境は、マルチベンダー環境がベースとなっているため、自社製品以外にも600以上のクラウド、サードパーティ製品に対応している点が大きな強みだ。様々なデータソースからテレメトリデータを収集し、それらに対して相関分析を行い、脅威を検知、さらに検知された脅威に対する自動対応も実現する。また、ファイア・アイ独自の脅威インテリジェンスが、グローバルな脅威情報の変化を反映し、日々更新されていることも大きなポイントだという。
今後もファイア・アイでは、XDRプラットフォームの提供を通じて、エンドポイントからクラウドまで企業のビジネスを担う「ITインフラの安心安全」を支えていく考えだ。