企業を保護するための戦略は、過去数年間で大きく変化しています。デジタルエコシステムが記録的なスピードで拡大を続けているため、新たな攻撃ベクターにさらされるリスクも増大しています。

企業や組織は、エンドポイント向け(EDR)およびネットワーク向け(NDR)の検知・対応ソリューションを活用することで、サイバーセキュリティ体制を強化しようとしています。EDRは依然として有効なソリューションの一つとして確立されていますが、他のセキュリティツールとの統合が難しい場合もあります。また、NDRは適用範囲が限られており、モダンな企業ネットワークを構成する各種の資産すべてを通じて必要な相互関連付けを提供できません。

サイロ化したセキュリティツールは、ネットワークにおける可視性のギャップをもたらす

攻撃者は、このような可視性のギャップを利用して、ネットワークの継ぎ目に隠れることで活動を続けています。セキュリティチームは、相互関連付けを自動化する機能を持たない複雑なセキュリティスタックから、必要な情報を取り出して実用的なインテリジェンスを生成するのに苦労しています。では、セキュリティチームはいかなる方向に舵を取れば、アラートに対する疲労を軽減し、運用の有効性と効率性を高めることができるのでしょうか?

セキュリティチームは、コンテキストを欠いた絶え間ないアラートの洪水によって過剰なノイズにさらされており、誤検知を排除するために大量のトリアージと手動による調査を必要としています。そしてネットワーク全体から他の遠隔測定とアラートを手動で相互に関連付けるために、さらなる調査を必要としています。これは時間のかかるプロセスであるため、攻撃者に悪意ある操作を進めるための時間的猶予を与えてしまいます。

Ponemon Instituteによると、自社のセキュリティチームに増え続ける数のツール(それぞれ特定の分野に特化したもの)を提供するために多大な投資を行ってきましたが、その結果、今や平均的な組織では、平均で45種類のセキュリティソリューションを管理する事態となっているとのことです。これらのソリューションは、標準化されていないテレメトリを生成するため、効果を上げるためには膨大な量の人間による介入が必要となっています。

しかし、ツールの数が増えるほど、複雑さが増すことになります。セキュリティオペレーションにとって、この複雑さは、SOCが持つ攻撃への迅速な対応能力に対する信頼を低下させる要因となっています。たとえば、『Cost of a Data Breach Study 2021(データ侵害にかかるコストの調査、2021年度版) 』では、データ侵害にかかる平均コストは386万ドルから424万ドルへと上昇しており、この数字は同レポート史上最高額であることが明らかにされています。

ただし、ネットワーク侵入の検知と封じ込めに200日以上かかった組織の場合、このコストは平均487万ドルまで増加しました。一方、200日未満で攻撃を検知した組織の場合、かかった費用は361万ドルでした。

XDRの導入により有効性と効率性を向上

企業や組織は、より効果的かつ効率的な検知・対応プログラムを構築するためには、セキュリティ制御がいかに連携して動作するかを理解する必要があります。そのようなプログラムを利用することで、攻撃を早期に発見し、迅速な修復が行えるようになります。ここで、XDR(Extended Detection and Response)の出番です。XDR戦略に投資することで、あらゆるデバイスやトラフィックタイプを通じて、より強力な検知能力とより適切な対応のオーケストレーションを構築できるようになります。

XDRソリューションは、さまざまなツールセットから生成されたセキュリティ関連のテレメトリを自動的にトリアージして相互に関連付けることで、すべてのセキュリティ制御におけるより深い統合を実現します。これにより、検知と対応のサイクルを劇的に向上させることが可能となります。このようなSaaSベースのソリューションを利用すると、ユーザーエクスペリエンスを向上できるほか、アラート疲れを解消するオペレーション中心のアプローチを提供することで、SOCチームが攻撃者の滞留時間を短縮できるようになります。

オペレーション中心のセキュリティアプローチを採用すると、脅威インテリジェンスのサイロ化を解消し、攻撃者の優位性を逆転させ、防御者に優位な立場を取り戻すことが可能となります。一方、アラート中心のアプローチでは、アナリストが攻撃のすべての要素を特定するのに苦労するため、攻撃者はネットワークの継ぎ目に隠れたままになる可能性が高くなります。

セキュリティに対するオペレーションのアプローチを採用することで、防御者は、根本原因から影響を受けたすべてのエンドポイントに至るまで、MalOpTM(悪質な操作)の全体を瞬時に視覚化できるようになります。これは、複数の段階の視覚化を通じて、リアルタイムに実現されるものであり、あらゆるデバイスとあらゆるユーザーにおいて、特定の攻撃に関するすべての詳細情報を直ちに明らかにするものです。拡張的な調査は必要ありません。これにより、セキュリティオペレーションチームは、「我々は攻撃を受けているのか?」という疑問に答えるために労力を費やすのではなく、攻撃への対処に集中して取り組むことができるようになります。

企業や組織にとってXDRソリューションが必要である理由

XDRソリューションへの移行を決定する前に、各自が利用している既存のセキュリティ検知・対応プログラムの有効性を判断する必要があります。これを行うには、次の質問に答える必要があります。

  • あなたの会社のSOCチームは、現在のセキュリティツールにより生成されたすべてのアラートを調査できていますか?
  • あなたの会社のSOCチームは、管理しなければならないアラートと誤検知の数に圧倒されていませんか?
  • あなたの会社のSOCチームは、現在のセキュリティ関連の投資に見合うような最適な成果を実現できていますか?

上記の質問に対する答えのうち1つでも否定的なものがあった場合、あなたの会社は、今すぐXDRへの移行を検討すべきです。GartnerSANSは、企業や組織によるXDRの導入戦略の計画に役立つガイドラインを公開しています。このガイドラインを利用することで、高精度の検知を実現し、リスクを最小化できるようになるほか、使用するすべてのテクノロジーに関する可視性を確保することも可能となります。

高精度の検知を実現することで得られる主なメリットしては、次の7つが挙げられます。

XDRを通じて可視性のギャップを解消

一般的な検知・対応ソリューションは、エンドポイント中心またはネットワーク中心的なアプローチを採用しているものでした。このようなEDRおよびNDR製品は、セキュリティ体制の強化や、セキュリティイベントの検知・対応にとって不可欠なものですが、今やモダンな企業は、ファイアウォールの背後にある企業が管理するタイプのエンドポイントで構成されるような単純なネットワークをはるかに越えたものへと変貌しています。

デジタルファースト型の企業では、ネットワークに境界がなく、非マネージド型のエンドポイントやアプリケーションが多数存在しています。モダンな企業や組織は、すべてのセキュリティ関連のテレメトリを取り込み、攻撃シーケンスのすべての要素を自動的に特定できるような1つのソリューションを必要としています。悪意ある操作の1つの側面だけに対応することでは、攻撃者の動きを鈍らせることはできるかもしれませんが、実際に攻撃を終わらせることはできません。

既に導入されているソリューションの可能性を最大限に引き出す

既に導入されているポイントソリューションや専用のセキュリティツールは、最適な価値を提供していますか?効果的なXDRソリューションを使うと、エンドポイントだけでなく、クラウドワークロード/コンテナ、ユーザーID、および各種のビジネスアプリケーションスイートなどが生成したテレメトリを取り込むことができます。

XDRは、人工知能(AI)と機械学習(ML)を活用することで、時間のかかるトリアージや相互関連付けタスクを自動化します。これにより、組織の資産全体にわたる各種のソースが生成したテレメトリに基づいて、コンテキストリッチな相互関連付けを提供することが可能となるため、その結果、セキュリティチームは運用の有効性と効率性の飛躍的な向上を実現できます。

より早期に検知し、より迅速に修正を行う

AI駆動型のXDRは、行動分析と振る舞いの痕跡(Indicators of Behavior、IOB)を活用することで、攻撃者がどのようにキャンペーンを行うかについてより深い視点を提供します。このようなオペレーション中心のアプローチを採用することで、より早期に攻撃を検知できるようになります。これにより、特に、従来のエンドポイント型のセキュリティソフトウェアの目をかいくぐるような、これまでにないツールや戦術を採用した高度な標的型攻撃を検知することが可能となります。

AI駆動のXDRソリューションは、1秒間に数百万件のペースでイベントを分析し、膨大な量のイベントテレメトリデータの自動的な相互関連付けを行うために不可欠です。そのようなXDRソリューションを導入すれば、アナリストが手作業でデータを照会し、数時間あるいは数日かけて個々のアラートを検証する必要はなくなります。

XDRはキルチェーン全体に関する可視性を提供するだけでなく、自動対応機能を提供します。これにより、ティア1-2のアナリストがティア3の能力で操作できるようになるため、有効性と効率性の両方を向上させることが可能となります。

オペレーション全体を検知する

XDR製品を評価する際には、検知・応答機能をカスタマイズできるかどうかを考慮する必要があります。セキュリティチームは、取り込まれたアラートの重み付け方法を、自らが防御する環境の仕様に基づいてカスタマイズすることで、独自の高精度な検知を実現できます。

また、これによりアナリストは、断片的なアラートではなく、全体的な検知を行うオペレーション中心の戦略を活用することで、攻撃者の行動のモデル化分野における経験を積むことができます。攻撃者のオペレーション全体に関する詳細な技術的インサイトを提供するような包括的な検知を利用することで、攻撃者のすべてのアクションとアクティビティを相互に関連付けることができないアプローチに比べて、攻撃者の滞留時間を大幅に短縮できます。

マネージド型XDR(MXDR)の導入を検討すること

MXDR(Managed Extended Detection and Response)サービスを利用すると、企業や組織は、XDRソリューションが提供する必要のあるすべての機能を、最高の状態で享受できます。これには、振る舞いの検知をはじめ、インシデントの優先順位付け、およびその他のセキュリティ関連のオペレーションをサポートするための応答アクションの実装などが含まれます。MXDRは、企業のネットワークを24時間365日体制で継続的に監視することで、セキュリティインシデントを特定します。インシデントを特定した場合、MXDRは、SOCチームに即座に通知するか、または独立に対応を実施することで攻撃を即座に封じ込めることもできます。

MXDRを利用すると、セキュリティ脅威の特定、追跡、および対応に専念する従業員の数を削減できるほか、新しいサイバーセキュリティ関連の人材を集めて訓練するという面倒な作業が不要になります。また、MXDRは、継続的な脅威ハンティングを提供するほか、組織の変化するニーズに合わせて拡張可能であり、組織が追加の研究開発投資を行うことなく機能の改善や拡張を実施できます。さらに、MXDRを利用することで、セキュリティスタックにかかる総所有コスト(TCO)を削減できます。

有効性と効率性を高めるようなXDRを探すこと

モダンな企業は、ネットワーク上のエンドポイントをはるかに越える存在であるため、事業運営のあらゆる側面をカバーする検知・対応能力を必要としています。複数のセキュリティ関連のテレメトリソースを容易に統合した上で、それらのすべてのデータの効率的な相互関連付けを行う必要があります。

環境の特定の部分に対する可視性または高度なインサイトがなければ、SOCチームは、限られたことしか達成できません。XDR戦略は、可視性を拡大するだけでなく、ツールと機能を組み合わせることで、これを打破します。これにより、すべてのネットワーク資産におけるセキュリティ体制に自信を持つことができるほか、攻撃の進行を初期段階で阻止するための自動対応を提供できるようになります。

AI駆動型のXDRソリューションを使うと、防御者は、エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースなどを含む、企業全体におけるサイバー攻撃の予測、検知、およびそれへの対応が行えるようになります。

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」

インシデントレスポンス(インシデント対応)プランを策定する場合、非常に詳細な部分にも注意する必要があります。

しかし、大きな成果を上げているインシデントレスポンス(インシデント対応)プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。

本資料は、インシデントレスポンス(インシデント対応)プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」インシデントレスポンスプランに組み込むべきでありながら忘れがちな9つの重要なステップ