- 2022/05/18
- XDR
XDRソリューションを評価する際の注意点とは?
Post by : Anthony M. Freed
最近の調査によれば、大多数のセキュリティ担当者の所属する組織がXDR(Extended Detection and Response)の導入を計画していると回答しています。このレポートによると、情報セキュリティ担当者の80%が、XDRは組織にとってサイバーセキュリティの最優先事項であるべきだと回答しています。また、68%が2022年に自社環境全体におけるXDRソリューション導入への投資を計画していると回答しています。
多くの企業や組織がすでにXDRを導入済み(または導入中)である主な理由としては、次の2つが挙げられます。1つは、企業や組織が、テレメトリ全体における相互の関連付けを生成できるようなプラットフォームを必要としていることです。テレメトリは、さまざまなセキュリティベンダーが提供する広範な種類のセキュリティテクノロジーを通じて提供されており、各ベンダーは個別のアラートを大量に生成しています。しかし、それらを結びつけるコンテキストが生成されることはほとんどありません。
また、企業や組織がXDRソリューションに移行するもう1つの理由として、現在居るアナリストの人数で、最大の効果と効率性を実現する必要があることが挙げられます。サイバーセキュリティのスキル不足により、企業や組織は、常に有能なスタッフが不足している状態となっています。そのため、手持ちのアナリストに最大の効果と効率性を実現する必要があることが最も多く挙げられています。これら2つの要因について、それぞれ検証してみましょう。
セキュリティソリューションの数が多すぎる
上記の調査によれば、回答者の9割が、複数のベンダーが提供する広範な種類のセキュリティツールを使用していると回答しています。その一方で、これらの回答者は、脅威の検知および防御に対するベンダーにとらわれないアプローチこそが、セキュリティプログラムにとって有益であると回答しています。そのようなアプローチは、真のXDRソリューションが提供する機能の中核となるものです。
さまざまなベンダーが提供する異なるセキュリティツールから複数のテレメトリソースを取得することの問題点として、これらのテクノロジーは、必ずしも連携しながら悪意あるオペレーション全体を見つけることが出来る訳ではないこと、そして個々のテクノロジーは潜在的な攻撃の1つの側面につき1つのアラートを生成するだけであり、現在の利用環境において、特定の要素を別のインジケーターに結び付けようとはしないことが挙げられます。
これは、毎日受け取る何百何千ものアラートをトリアージし、どれがフォローアップに値するかどうかを判断し、選択したアラートのうちどれとどれが互いに関連しているかを確認する作業が、人間のアナリストに任されていることを意味します。さらに、アナリストたる人物は、影響を受けたシステムやデバイスに対して一連の複雑なクエリを実行することで問題の程度を判断すると同時に、どのユーザー、アプリケーション、システム、クラウドワークロードが影響を受けている可能性があるかを人手で確認する必要があります。
これは時間のかかる作業であり、その時間は攻撃者にとって有利に働きます。なぜなら、攻撃者は、その時間を利用して攻撃を弱めることなく展開できるからです。その一方で、アナリストは、一連の攻撃に関与している可能性があるものすべてに対して、十分な可視性を確保するのに苦労しています。
サイバーセキュリティに関するスキルギャップ
過剰な数のセキュリティソリューションが過剰な数の構造化されていないアラートを生成することで、ただでさえ複雑なプロセスをさらに複雑にしています。このため、企業や組織は、セキュリティチームの人員が十分でないにもかかわらず、セキュリティインシデントの早期検知を実現しなければならないという問題に直面しています。
この問題は、SOCチームの大半(59%)がXDRを使用して平均検知時間(MTTD)および平均応答時間(MTTR)を改善するつもりであると回答した理由を説明するのに役立ちます。また、SOCチームの45%がXDRを使うと、今より少ない数のセキュリティ担当者でMTTDとMTTRを改善できると予想していると回答しています。
企業や組織は、セキュリティインシデントが本格的な侵害イベントへとエスカレートするのをより手際よく防御するためには、MTTDとMTTRを短縮する必要があります。なぜなら、これらのイベントにかかるコストは、攻撃者がターゲットのネットワーク内で過ごした時間に正比例するからです。
セキュリティ担当者の数が少ないということは、こうした情報漏洩を早期に検知できるスキルを持った人材が少ないということと同じです。このため、サイバーセキュリティのスキル不足を前提として2022年における企業や組織のセキュリティ戦略が形成される可能性が高いと考えても、驚きはありません。
HelpNet Securityが報じたように、2021年の調査では、回答者の88%が、スキルギャップが今後1年間のセキュリティ戦略に影響を及ぼすであろうと回答しています。なお、回答者の半数が「大きな影響を及ぼす」と予想しました。
Cost of a Data Breach Study 2021(データ侵害にかかるコストに関する調査レポート2021年度版)で公表されている事実に基づくならば、セキュリティ侵害を発見して封じ込めるまでに平均287日かかり、攻撃者の滞留時間が200日以上である場合、セキュリティ侵害1件につき487万ドルのコストがかかることになります。一方、200日未満でデータ侵害の検知と封じ込めに成功した場合、そのコストは361万ドルにまで下がります。
XDRに対するオペレーション中心のアプローチ
企業や組織がAI駆動型のXDRソリューションの採用を通じて享受できる主なメリットとして、組織のインフラを構成するさまざまな部分からセキュリティ関連のテレメトリを収集した上で、それらを互いに関連付けることで、1つの攻撃における関連要素を網羅した全体像を生成できることが挙げられます。
AI駆動型のXDRソリューションが提供するこの機能を利用することで、セキュリティチームは、進行中のセキュリティインシデントに対して意味のある行動を取るために必要となるディープなコンテキストと相互関連付けをリアルタイムで提供できるようになります。これは、アナリストが、関連性のないアラートの選別や調査、そして誤検知の処理に貴重な時間を費やすこととは、極めて対照的です。そのような作業を通じては、攻撃を阻止できません。
XDRはオペレーション中心のアプローチを提供します。このアプローチにおいて、情報のサイロ化はもはや包括的な可視性を達成するための制限要因にはなりません。XDRは、EDR、アンチウイルス、ファイアウォール、CWPP(クラウドワークロード保護プラットフォーム)、およびその他のソリューションから収集したテレメトリを組み合わせた上で、インテリジェンスを1つの参照フレームへと相互に関連付けることで、攻撃キャンペーンを推進しようとする悪質な振る舞いを検知します。
買い手は用心せよ
XDRは、セキュリティツールボックスの中では比較的最近追加されたものです。このため、XDRが何を意味しているか、そしてそれはユーザーにとって何を達成できるのかについて、多くの混乱が発生しています。その結果、XDRプラットフォームを提供していないにもかかわらずXDRを「販売している」と主張しているベンダーが数多く存在します。
これらのベンダーのほとんどは、何らかのEDRソリューションを利用しており、いくつかのクラウドワークロードデータをそのEDRツールの画面に取り込んでいるだけです。彼らは、AI駆動型のXDRソリューションが提供する機能の一部を模倣し、見込み客とのPOCを成功させることはできるかもしれませんが、マーケティング資料で売りにしている機能を提供することはできません。なぜなら、真のXDRを実現するために必要となる、毎日生成される数テラバイトものデータ処理が行えないからです。
これは特にエンドポイントデータに関連した問題です。アラートの量と誤検知率が理由で、ほとんどのEDRは、ある組織が利用しているエンドポイント全体で何が起こっているのかを明確に把握することさえできません。そのような情報を、非エンドポイントテレメトリと相互に関連付けることができないツールに、さらに多くのデータを詰め込んだとしても、企業や組織の安全性を高めることはできません。
AI駆動型のXDRが持つ強み
AI駆動型のXDRソリューションにより、企業や組織は、オペレーション中心のセキュリティアプローチを採用することが可能となるほか、すべてのネットワーク資産におけるセキュリティ体制を確実に整えるために必要となる可視性と、攻撃の進行を初期段階で阻止するような自動応答を実現できます。
さらに、AI駆動型のXDRソリューションを使うことで、企業全体(エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースを含む)におけるサイバー攻撃を予測および検知した上で、それに対応できるようになります。
単なるEDRツールをそれ以上のものとしてポジショニングする巧妙なマーケティング手法や、効果的に統合できないテクノロジーを保有している小規模な新興企業を巨額で買収したことを大袈裟に宣伝するベンダーに騙されないでください。今もなお、買収完了後数週間ですべてをパッケージ化し、それをXDRソリューションに見せかけようとするベンダーが存在しています。
そのような場合、ベンダーが答えられないような難しい質問をすることで、同ベンダーの提供するソリューションが適切なものであるかどうかを見極めることができます。
サイバーリーズンではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。
2022年セキュリティ予測 〜4つの脅威から紐解く、2022年のサイバーセキュリティの展望〜
サイバーリーズンでは、2022年は2021年に見られた脅威傾向が継続していくと予測しており、その中でも特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。
2021年の4つの脅威を振り返りながら、2022年のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/7439/
