- 2024/05/14
- XDR
今さら聞けない「XDRの導入価値」についてあらためて知る
Post by : Cybereason Japan Marketing Team
多くの企業・組織が現在導入を予定・検討している「XDR」
弊社が2023年8月に実施したアンケート調査によると、企業が今後導入を予定しているセキュリティ製品の上位3つを「Zero Trust Network Access(ZTNA)」「EDR」「XDR」が占めました。ZTNAとEDRに関しては、ゼロトラストセキュリティモデルを構成する主要素として長らく注目を集めていますが、ここへ来てXDRも急速に脚光を浴びつつあるようです。
このアンケート調査では「あなたの組織でXDRに期待することは何ですか?」という質問項目も用意していたのですが、これに対しては「監視・検知・対応を一元化」「攻撃の全体像を可視化」「監視対象の拡大・可視化」という回答が上位を占めました。この事からも分かる通り、XDRはこれまでのセキュリティ製品と比べ、より広い範囲の監視対象を可視化し、それによってサイバー攻撃の全体像をつかみやすくします。
従来のセキュリティ製品は「端末を監視するEDR」「メールを監視するメールセキュリティ製品」「ネットワークを監視するIPS」といったように監視対象がそれぞれ分かれていましたが、XDRはこれらのログをすべて単一の監視基盤上に集約して相関分析を施すことで、「いつ、誰が、どこから、どのように、何を目的として、何をしたのか」というサイバー攻撃の全体像をより正確にあぶり出すことができます。
弊社はこれまで、エンドポイント端末を主な監視対象とするEDRを主力ソリューションとして打ち出してきましたが、近年の高度なサイバー攻撃に対抗すべく、より広い監視対象をカバーできるXDRソリューション「Cybereason XDR」の提供を始めており、既に多くのお客様に導入いただいています。
さまざまな製品のログを集約・分析することで攻撃の全体像を可視化
XDRの導入効果をより多くの方に理解していただけるよう、弊社では実際のサイバー攻撃のシナリオに基づいて、Cybereason XDRがどのように攻撃を可視化できるかを分かりやすく示しています。このシナリオでは、まず攻撃者はVPN装置の脆弱性を悪用して初期侵入を試みますが、実際に脆弱性を突かれた瞬間はVPN装置に気がつかないため、スキャーニング等の攻撃を監視する必要があり、これを検知するにはVPN装置のログを個別にチェックする必要があります。
またこのシナリオでは初期侵入後にドメインコントローラのアカウントを乗っ取り、ネットワークスキャンツールを用いて内部偵察を行い、さらには他のサーバに侵入して外部からランサムウェアをダウンロードして実行します。これら一連の攻撃を検知するためには、やはりActive Directoryのログを監視したり、EDRやDNS Securityなどのセキュリティ製品を用いて、個別の攻撃フェーズごとに脅威を検知する必要があります。
しかしこうして個別のセキュリティ製品のログを監視したり、検知アラートを確認したりするのは手間が掛かるだけでなく、それぞれのイベントの相関を容易につかむことができず、結果的に攻撃の全体像もなかなか把握できません。
その点Cybereason XDRを用いれば、これらの製品のログを一カ所に集めて相関分析を施すことで、互いの関連性をコンソール上で分かりやすい形で可視化し、攻撃の全体像を一目で把握できるようになります。検証時には30日間に渡ってCybereason XDRを運用したのですが、その間に実に19億ものイベントが発生しました。
これらを人手で集約・分析するのはもちろん不可能ですが、Cybereason XDRの自動分析の処理によって不審なイベントが約5万3000まで絞り込まれ、さらにそれらを相関分析に掛けることで最終的に99のアラート(MalOp)にまで絞り込むことができました。
多様なセキュリティ・ネットワーク・クラウド製品と連携
XDRが有効に機能するためには、より多くの製品からログを収集できる必要があります。そのためCybereason XDRでも、弊社が提供するEDR製品「Cybereason EDR」はもちろんのこと、他社のさまざまな製品と情報を連携できるようになっています。CiscoやFortiGate、Palo Altoなど主要ネットワーク製品ベンダーが提供する製品はもちろんのこと、AWSやMicrosoft 365、Google Workspace、Boxといったクラウドサービスの監査ログも収集できるようになっています。
特に近年ではクラウドサービスのビジネス利用が一層拡大しているため、XDRでSASEのクラウドサービスのセキュリティ状況も一括監視できる点は、多くの企業にとって導入メリットが大きいと思われます。さらには弊社のモバイルセキュリティ製品「Cybereason MTD」をはじめとするモバイルセキュリティ製品との連携も進めており、今後もさらに多くの製品との連携を予定しています。
このようにCybereason XDRは、弊社製品の既存ユーザー以外の企業・組織にとっても導入価値が極めて高いXDRソリューションとなっています。本稿を読み興味を持たれた方は、ぜひ弊社の製品サイトでより詳細な情報を参照していただければと思います。
【開催レポート】Cybereason XDR 導入事例共有セミナー 〜導入企業に学ぶ、Cybereason XDRによる最新のサイバーセキュリティとは〜
2023年10月に開催されたセミナー「Cybereason XDR 導入事例共有セミナー」のセッション内容をまとめました。
Cybereason XDRの製品概要とその有効性を解説するとともに、株式会社オープンハウスグループ様の製品導入の目的や運用方法など導入事例についてご紹介します。
製品の導入検討にご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/11560/
