XDR戦略の成功に必要不可欠な7つの要件の定義は、モダンなアタックサーフェスと同じくらい多様性に溢れています。このような多様性は、セキュリティ専門家の心に不確実性をもたらしています。と言うのも、セキュリティ専門家は、サイバー脅威から組織全体を保護するようなセキュリティオペレーションセンターの能力をアップグレードするという任務を与えられているからです。

XDRの最も一般的な定義は、EDR（Endpoint Detection and Response）の自然な拡張であるというものです。これは、今日、多くのSOCチームが受け入れている定義であり、EDRやMDR（Managed Detection and Response）のソリューションからより多くのメリットを得ようとしています。また、この定義は、多くの組織がXDRへの移行を開始する出発点となるものです。エンドポイントを超えて拡大し続けるアタックサーフェスを効果的に保護できるソリューションを求めているからです。

3分解説動画「XDRとは？」

テレワーク・デジタル化によるセキュリティの問題点を踏まえ、「XDR（Extended Detection and Response）」の基本知識・特長について約3分で分かりやすく解説しています。

XDRは、エンドポイントを超えて、Office 365やGoogle Workspaceなどのワークスペース技術から、アイデンティティ、クラウド環境、さらにはビジネスネットワーク全体のIoT/OTデバイスに至るまで、検知と対応能力を拡大します。これにより、組織全体のセキュリティ状況をより的確に把握できるようになります。

XDR戦略の具体的な構成要素は、企業や組織が抱えるニーズにより異なりますが、XDR戦略を効果的なものにするためには、いくつかの基本的な要件を満たすことが必要となります。

この記事では、XDRへの移行をどこから開始すべきかと悩んでいるセキュリティ担当者のために、XDR戦略を成功させるための7つの基本的な要件を紹介します。

要件その1: 包括的な可視性

インシデントを効果的に検知した上で、それに対応するために、XDR戦略としては、関連するすべてのシステムとネットワークに対する可視性を確保する必要があります。これには、オンプレミスベースおよびクラウドベースのシステムに加えて、エンドポイント、サーバー、ネットワークトラフィックなどが含まれます。また、XDRプラットフォームは、一貫性のある調査および対応の体験を提供する必要があります。

そのようなプラットフォームでは、リモートエンドポイント、モバイルデバイス、クラウドプラットフォーム、およびアプリケーションから収集したテレメトリを相互に関連付けることにより、悪意ある操作を予測、防御、および阻止することが可能となります。また包括的な可視性とは、エンドポイント、ワークスペース、アイデンティティ、クラウド、ネットワーク全体に対する可視化を意味します。

要件その2：脅威インテリジェンス

XDRには、さまざまな種類の脅威インテリジェンスを取り込み、自動化する機能が必要です。多くの場合、脅威インテリジェンスは、新たに取り込まれたデータに対してのみ照合されるため、カバレッジのギャップが生じ、脅威を見逃すことになります。XDRパートナーは、プロアクティブなハンティング、インテリジェンス脅威レポート、カスタム検知およびインテリジェンスのサポートといった多層的な防御を通じて、最新の脅威が顧客の組織に影響を及ぼすかどうかを判断するための手助けをする必要があります。

要件その3：アナリティクスと自動化

XDRソリューションは、アタックサーフェス全体を包括的に監視することでパターンを特定し、より大規模な潜在的脅威を検知する必要があります。つまり、同ソリューションは、一見バラバラに見えるイベントや無害と思われるイベント同士を結びつけることにより、悪意ある振る舞いを認識し、脅威を防御または阻止するための行動を起こすものでなければなりません。

今日の脅威、特にランサムウェアのような影響力の大きい脅威に対して高い効果を発揮するソリューションは、追加の処理時間や人間のアナリストによる介入を待たずに、悪意ある活動のリスクを直ちに軽減することが必要です。先進的なソリューションでは、攻撃者が取るであろう次の行動を予測し、プロアクティブにリスクを軽減するための予測分析機能が追加されています。

要件その4：アラートとインシデントの優先順位付け

XDRソリューションは、セキュリティの運用を「アラート中心」のセキュリティモデルからオペレーション中心のモデルへと移行できる能力を実証する必要があります。オペレーション中心のモデルでは、高精度のアラートを利用して、悪意ある活動全体を脱構築することに主眼が置かれます。また、XDRソリューションは、すべてのユーザー、デバイス、ID、ネットワーク接続など、攻撃を構成する個別のコンポーネントを統合した上で、コンテキスト化された包括的な攻撃ストーリーを作成できるものでなければなりません。

要件その5：対応の自動化

効果的なXDRソリューションは、多層的な対応フレームワークを提供する必要があります。これは、ランサムウェアなどの脅威の自動予防から、検知された悪意ある操作の各部分に対して何をすべきかについてのガイド付き応答に至るまでをカバーするものです。また、これには、エンドポイント、アイデンティティ、およびネットワークにおける対応措置を直接講じることも含まれます。

アナリストは、マシンの隔離、プロセスの強制終了、リモートシェルのオープンなどのリモート修正アクションをすべて、ポイント&クリック式のインターフェイスを通じて実行できる必要があります。これにより、攻撃者の活動を阻止できるようになります。

要件その6：統合

XDRソリューションを評価する際、セキュリティ担当者は、エンドポイント、ワークスペース、アイデンティティ、クラウド、ネットワークの各分野における統合を実現できるようなソリューションを探す必要があります。そのような統合は、現在使用しているシステムにマッチするか、または将来的に導入を検討しているシステムとマッチするものでなければなりません。

要件その7：将来を見据えた設計

XDRソリューションは、IOC（Indicators of Compromise、侵害の痕跡）とIOB（Indicators of Behavior、振る舞いの痕跡）を利用することで、脅威を可能な限り早期に検知する必要があります。これにより、これまでに見たこともないような攻撃を検知できるようになります。インテリジェンスベースの脅威阻止とNGAVベースの行動および機械学習技術を活用するXDRプラットフォームは、既知および未知の脅威の両方を検知して防御できます。これは、そのような攻撃が今後どのように進化しようとも、将来的に対応可能な保護が得られることを意味します。

オペレーション中心のアプローチとは〜振る舞いの痕跡（IOB）を活用して早期検知と予測的対応を実現する〜

今日のセキュリティモデルでは、関連性のないアラートが無限に生成されます。その大半は誤検知であるか、より大きな攻撃シーケンスの一部に過ぎません。

このホワイトペーパーでは、早期検知のためのIOC（Indicators of Compromise）の価値の低下、IOCを表現するための拡張可能な共通言語の確立によるIOCの定義と運用、SolarWindsの攻撃に基づくIOB（Indicators of Behavior）の活用に関するケーススタディなどについて深く掘り下げて解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/9109/