- 2022/08/23
- XDR
XDRはゼロトラストの実現において重要な役割を果たす
Post by : Anthony M. Freed
現在、セキュリティのゴールポストが急激に変化しています。これは、クラウドベースのシステムをよりオープンで透明性の高いものにしようとする規制主導型の動きにより、企業のかかえるアタックサーフェスが拡大し、従来の境界セキュリティの概念がさらに揺らいだ結果だと考えられます。
COVID-19パンデミック時のリモートワークへの移行、IoT、5G、IPV6の台頭、企業に悪影響を及ぼす高度標的型のRansomOps攻撃の増加など、最近のセキュリティ分野における出来事を見ても、この傾向は飛躍的に加速していると言えるでしょう。
その結果、攻撃者の戦術がこれらの新しい攻撃ベクターをターゲットとして進化しているために、新たなセキュリティリスクが発生しています。このように脅威が拡大する中、多くの企業や組織が、採用すべきサイバーセキュリティの重要なフレームワークとして、ゼロトラストアーキテクチャに注目しています。
ゼロトラストセキュリティアプローチとは何か?
「ゼロトラストセキュリティ」という言葉は、John Kindervag氏が初めて使ったものであり、これは「ネットワーク内の信頼がしばしば誤った方向に向かうため、完全に安全な環境は存在しない」という事実に基づいています。また、この言葉は、ほとんどの投資がネットワークやデバイスの保護に集中しており、企業や組織にとって重要な資産である企業データはなおざりにされていることを踏まえています。
ゼロトラストとは、「セキュリティチームがネットワークをセキュアなマイクロ境界へと再設計し、難読化を用いてデータセキュリティを強化し、過剰なユーザー権限に関連するリスクを制限し、分析と自動化を通じてセキュリティ上の検知と対応を劇的に改善する方法を実現するための概念的およびアーキテクチャ上のモデル」として定義されます。
また、米国国立標準技術研究所(NIST)は、ゼロトラストという用語を次のように定義しています。
「ゼロトラストアーキテクチャ(ZTA)とは、防御を静的なネットワークベースの境界から、ユーザー、資産、リソースに焦点を当てたものへと移行させる、進化し続ける一連のサイバーセキュリティパラダイムを意味します。ゼロトラストアーキテクチャ(ZTA)は、ゼロトラストの原則を利用して、産業用および企業用のインフラストラクチャとワークフローを計画します。ゼロトラストは、物理的な場所やネットワークロケーション(すなわち、ローカルエリアネットワーク経由か、それともインターネット経由か)、資産の所有権(企業所有か、それとも個人所有か)のみに基づいて、資産やユーザーアカウントに対していかなる暗黙の信頼も与えないことを前提としています。ユーザー認証と権利認証(主体とデバイスの両方)は、企業リソースへのセッションが確立される前に実行される別々の機能となります。ネットワークロケーションは、もはやリソースのセキュリティポスチャーを形成する主要な構成要素とは見なされません」。
XDRとは何か?
XDR(Extended Detection and Response)とは、メール、サーバー、クラウド、エンドポイント、ネットワークといった複数の資産やセキュリティ層から収集したイベントテレメトリを分析し相互に関連付けることで、攻撃の迅速な検知を実現する新しいソリューションです。
攻撃者がかつてないほどに高度な手法を使う中で、攻撃者はネットワークの継ぎ目に簡単に隠れることができるようになりました。XDRはSIEMやSOARテクノロジーが達成できなかった約束を果たすものであり、各種のネットワーク資産、アプリケーションスイート、クラウド環境、ユーザーIDなどにわたって、脅威の予防と検知、そして脅威への対応を提供します。
XDRは、セキュリティチームが、個々のアラートを常にトリアージして調査するようなアプローチから、よりオペレーション中心のアプローチへと移行する機会を提供します。オペレーション中心のアプローチを利用することで、XDRは、攻撃が深刻な侵害イベントへとエスカレートするずっと前の、最初期の段階で攻撃を検知して終了させるために必要となる、ディープなコンテキストに基づいた相互関連付けを提供します。
XDRは、脅威を特定し、複数のセキュリティ層やネットワークコンポーネントにわたってより大局的なビューを提供するために、より広範な種類のアプローチを採用するように進化しています。XDRは、攻撃のある側面や別の側面に対して個別に警告するだけでなく、悪意ある操作全体を理解することにより、予測的対応を自動化する機能を提供します。
XDRの仕組み
XDRは、複数のイベントテレメトリーストリームからデータを抽出することで、すべてのセキュリティ層に関する明確な概要と分析を提供します。これにより、複雑なセキュリティ機能がセキュリティチームにとってより身近なものになります。XDRは、検知プロセスの自動化と効率化を実現します。XDRが登場する前は、手作業による評価を行うために多大な時間とリソースが必要でした。
セキュリティチームは、誤検知で溢れた相互に関連付けられていないアラートの際限のないストリームを取り扱うのではなく、潜在的な悪意ある行動の連鎖の検知に注目することで、影響を受けるすべてのデバイスとユーザーに関して、根本原因から攻撃オペレーションの全容に至るまでをリアルタイムで確認できます。
XDRはインテリジェンスのサイロを打破し、ビジネスシステムのすべての要素に対してイベントデータを相互に関連付けます。その結果、新たな脅威に対してより明確な可視性を得ることができます。たとえば、XDRは根本原因の分析を自動化することで、電子メール、エンドポイント、サーバー、クラウドワークロード、アイデンティティにまたがる脅威のタイムラインと経路を明確に表示します。これにより、アナリストは脅威を評価し、適切な措置を取ることができるようになります。XDRを導入すれば、相互に関連付けられていないアラートにおけるランダムな組み合わせから、手作業ですべてをつなぎ合わせる必要はなくなります。
XDRによるゼロトラストの実現
XDRは、ネットワークトラフィック分析(NTA)ツールやその他の事後対応的なツールに代わるものであり、セキュリティソリューションが生成するアラート間の可視性と相互関連付けを提供することで、EDR、SIEM、SOARソリューションの強化を実現します。
XDRは、脅威インテリジェンスフィードと多次元的なトラフィックアルゴリズムを使用することで、被害が発生する前に攻撃の可能性を特定します。XDRは、クラウド、ネットワーク、個々のエンドポイントにおいて、このような作業をリアルタイムで実行します。
企業や組織は、XDRを通じてこれらの機能を使用することで、ゼロトラスト移行計画に取り組み、脅威の早期検知をリアルタイムで実現できるようになります。XDRは、すべてのセキュリティ業務に関わるイベントを継続的に監視することで、ゼロトラストの「中枢神経系」として機能します。
XDRを使用したゼロトラストの拡張
ゼロトラストは、それ自体では1つの知識ですらありません。ゼロトラストは、どのユーザーを信頼すべきかを監督するために、シングルサインオン、ネットワークセグメンテーション、多要素認証に依存しています。これらのテクノロジーは、企業や組織がゼロトラストの精神を実現するのには役立ちますが、企業全体のセキュリティを確保するというレベルにまで高めることはできません。一方、XDRを使うと、それが可能となります。
ゼロトラストへの移行における最初のステップは、信頼の目隠しを取り除き、信頼できるアイデンティティとアプリケーションの背後に隠れている悪意ある行動を本格的に計測、監視、確認することから始まります。しかも、ITやビジネスを中断させることや、それらに損害を与えることがあってはなりません。そして、XDRはこの機能を提供します。
XDRは、アイデンティティ、電子メール、ワークスペース、クラウドサービスなどの幅広い統合機能を活用することで、ステルス型の脅威を、それがエスカレートする前に効果的にかつ高精度で検知します。これにより、効果的なデータ損失防止を保証するとともに、複雑なランサムウェアやデータ窃取のようなエクスプロイトから企業や組織を守ることができます。
今日の防御者は、サイロ化したテクノロジースタックに阻まれています。そのようなテクノロジースタックは、特にアイデンティティや電子メールなどの分野で大きな盲点をもたらすことが少なくありません。今日の分散環境では、攻撃を追跡し、終了させることが困難になっているのが現実です。攻撃者が極めて重要なデータを狙う場合、それはもはや企業ネットワーク内だけには留まりません。攻撃者は、IDを窃取してSaaSアプリケーションへと移動することもあれば、クラウドインフラストラクチャへと移動する可能性もあります。
ここでXDRの威力が発揮されます。ゼロトラストアーキテクチャへの移行を計画している企業や組織は、まず、ランサムウェア、ビジネスメールの漏洩、アカウントの乗っ取りなどのトップレベルの脅威に対する実行可能なインシデントレスポンスの要件に対応する必要があります。XDRを使うと、すべてのネットワーク資産においてゼロトラストセキュリティ体制に自信を持つために必要となる可視性を確保できるようになります。
現在の企業は、ネットワーク上にあるエンドポイントをはるかに越えた存在であるため、ゼロトラスト体制を実現するためには、ビジネスオペレーションのあらゆる側面をカバーするような検知および対応能力が必要となります。
【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜
サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。
昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。
このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/
