複雑化するセキュリティをシンプルに

検知・対応改善の“カギ”となるXDRとは

複雑化するセキュリティをシンプルに

検知・対応改善の“カギ”となるXDRとは

複雑化するセキュリティをシンプルに

検知・対応改善の“カギ”となるXDRとは

　ここ数年、情報セキュリティ対策を取り巻く環境は大きく変化した。コロナ禍に伴う在宅勤務によるリモートワークの普及や、クラウドシフトが急速に進む中、サイバー攻撃のリスクが拡大している。また、身代金を要求する標的型ランサムウエアの攻撃数が増加し、社会基盤に影響を及ぼしかねない攻撃も目立ってきた。さらに部分最適の観点から、セキュリティ製品のベスト・オブ・ブリードによる導入で脅威情報のサイロ化や、セキュリティの複雑化が課題となっている。

　セキュリティの複雑化は、検知・対応の遅れを招くとファイア・アイは指摘する。通常、サイバーセキュリティ対策では、エンドポイント、メール、クラウド、サードパーティなど、様々なシステムからSIEM（Security Information and Event Management）がログを収集し相関分析を行い、SOC（Security Operation Center）にアラートを上げる。問題は、部分最適で導入しているセキュリティ製品からも大量のアラートがSOCに寄せられることだ。その中には、攻撃が発生している場合も想定されるため、担当者は手作業で個別に調査・分析を行わなければならない。

　様々なセキュリティ製品による“つぎはぎ”の対策は、真の脅威の発見を困難にするという。例えば、フィッシングメールにより社員が偽のMicrosoft 365ログイン画面に認証情報を入力してしまい、その認証情報を使って攻撃者が侵入したと仮定しよう。もしこれをメール対策で検知できない場合、フィッシングサイトをクリックした後の振る舞い検知や不正なアカウントを利用した不正なログインの検知をそれぞれ異なるシステムで行わなければならない。また、ネットワークへの攻撃へと進展した場合は、ネットワーク側の検知も必要になる。しかし個々のシステムによる検知だけでは、どこに端を発し、何を目的とした攻撃なのかが分からず、攻撃の全容をつかむことはできない。セキュリティ製品間で連携が取れていないことが、根底にある脅威の検知や対応時間の遅れを招く要因となっているわけだ。

　それではセキュリティの複雑化による対応・検知の遅れをいかに改善するべきなのか。それには、大きく3つのポイントが重要になるという。

　1つ目は「エンドポイントからクラウドまでセキュリティ情報の統合」だ。企業・組織全体に影響を及ぼす脅威の全体像を正確に把握するために、エンドポイント、ネットワーク、クラウドなどの様々なシステムから収集したデータを統合管理し分析することが求められる。ベスト・オブ・ブリード環境の統合による包括的な脅威情報の管理の実現が、検知・対応改善のベースになるのだ。

　2つ目は「脅威の分析・検知の高度化」である。これまでは、各システムから上がってくるログの分析や、アラートによりインシデントが発生してから事後対処するリアクティブな対応だった。サイバー攻撃が高度化する中、これからは各システムからデータを収集し隠れている脅威を推測し、事前に予防措置を行うプロアクティブな対応が重要になる。

　3つ目は「対応の自動化」だ。従来、サイバー攻撃によるシステムの復旧は人手に依存していた。攻撃の検知から対応までのプロセスの自動化を進めれば、迅速な対応により影響の最小化が図れる。さらに、セキュリティ担当者の作業工数を削減し、その分で生まれた時間を、より詳細で複雑な分析に充てることもできるようになるだろう。

　この3つのポイントを実現し、検知・対応の改善を図るカギとして注目されているのがXDR（Extended Detection and Response）である。XDRはエンドポイント、ネットワーク、クラウドなど広範囲に及ぶシステム全体を監視対象とし、現在はもとより将来の脅威を検知し自動的に対応するソリューションだ。

　それではXDRは、どのように広範囲を監視し脅威を検知するのだろうか。

　ポイントとなるのは、ユーザーの利用状況のデータである「テレメトリデータ」だ。例えば、エンドポイントを例に取ると、IDアドレス、コマンド、ファイルに関する情報、ネットワーク接続、レジストリなどがテレメトリデータに相当する。テレメトリデータは、いわば各システムを観測するためのデータといえる。XDRは、マルチベンダー環境を含めた様々なシステムからテレメトリデータを収集・相関分析を行った上で、真の脅威を検知し自動的に対応する。

　テレメトリデータから真の脅威を見つけ出すためには、脅威に対する膨大な情報が必要となる。脅威の活動の仕方、痕跡の残し方、攻撃者の意図や能力などを知らない限り、脅威を検知することはできないからだ。そのためXDRではテレメトリデータに加え、脅威インテリジェンス（専門家が分析を行う際に利用するサイバー攻撃に関する情報）を活用する。これにより、単体のテレメトリデータで異常はなくても、複数のテレメトリデータの組み合わせによる脅威検知や、脅威のプロアクティブな検知が実現できるという。

　XDRのメリットは、これだけにとどまらない。サイバーセキュリティの大きな課題である人材不足の解消にもつながるという。XDRは膨大なアラートへの最適化を実現し、また、自動化によりマニュアル作業からSOCアナリストを解放する。これにより、SOCアナリストは、本当に対処するべきアラートへの対応や、サイバー攻撃が発生した際の対応・管理を体系化するインシデントレスポンスなどに注力できるようになる。

　ファイア・アイでもXDRを提供している。その特長は、エンドポイント、ネットワーク、メール、サードパーティセキュリティを包括的に統合するSaaSベースの脅威検知・対応プラットフォームである点だ。近年のユーザーのシステム環境は、マルチベンダー環境がベースとなっているため、自社製品以外にも600以上のクラウド、サードパーティ製品に対応している点が大きな強みだ。様々なデータソースからテレメトリデータを収集し、それらに対して相関分析を行い、脅威を検知、さらに検知された脅威に対する自動対応も実現する。また、ファイア・アイ独自の脅威インテリジェンスが、グローバルな脅威情報の変化を反映し、日々更新されていることも大きなポイントだという。

　今後もファイア・アイでは、XDRプラットフォームの提供を通じて、エンドポイントからクラウドまで企業のビジネスを担う「ITインフラの安心安全」を支えていく考えだ。