- 2023/05/18
- XDR
注目の脅威検出技術「XDR」が今求められるわけ
Post by : Yuichi Kikukawa
攻撃対象と攻撃テクニックがますます多様化
近年のサイバー攻撃は、実に多種多様な対象を狙って攻撃を仕掛けてきます。かつてはファイアウォールとアンチウイルスソフトで脅威を監視していれば、大抵の攻撃は検知できていました。しかし現代のサイバー攻撃はあの手この手で侵入を試みるため、「ここさえおさえておけば大丈夫」という対策はもはや通用しません。
例えば、最近の多くのサイバー攻撃はメールを介して侵入を試みるため、ファイアウォールのような古典的な対策ではたやすくすり抜けられてしまいます。また、攻撃者は侵入に成功すると、社内の他の端末やサーバーへの横展開を狙ってActive Directoryなど認証基盤への不正侵入を図ります。そのため、単にPCやサーバーにアンチウイルスを導入して監視するだけではなく、メール、認証基盤サービスやネットワークも常時監視する必要があります。
さらに最近ではクラウドサービスの業務利用やテレワークの働き方が当たり前になってきたため、社内環境を監視しているだけでは対策として不十分です。業務利用しているクラウドサービスを介したサイバー攻撃や、テレワーク端末への攻撃に対しても十分に目を光らせておく必要があります。事実ここ数年の間で、クラウドの情報漏えいインシデントが続発しています。
網羅的な脅威検出の必要性とSIEMの限界
このようにサイバー攻撃の対象領域やテクニックがますます多様化しつつある今日、社内環境を超えた攻撃の全体像をつかむためには、あらゆるセキュリティ製品の情報を組みわせることが必要です。こうした課題を解決するために、統合型セキュリティ製品や監視サービスを導入する企業が増えています。その一例が「SIEM(Security Information and Event Management)」です。
SIEMはファイアウォールやIDS/IPS、エンドポイントセキュリティ製品など、さまざまなセキュリティ製品が生成するログを1カ所に集約し、それらの間の関連性を分析することで攻撃の全体像をいち早くつかもうというものです。これを導入・活用することで、確かに個々のセキュリティ製品をばらばらに運用する場合と比べ、サイバー攻撃の全体像はつかみやすくなります。
しかしSIEMの導入メリットを十分に享受できている企業・組織は、実際にはさほど多くないという調査結果もあります。イスラエルのセキュリティ会社CardinalOpsの調査によると、SIEMを実環境に導入して「頻繁に用いられる攻撃手法」を検知できた割合は35%に過ぎず、またActive DirectoryやOktaなどのIDログをSIEMに転送して脅威検出に利用している組織も25%に過ぎないとのことです。
またSIEMを自社環境に導入して利用するためには、少なからず運用負荷が掛かります。実際にSIEMを導入した企業の多くでは、自社環境に適した検知ルールをカスタマイズするだけでなく、最新の脅威に対応できるよう情報を定期的に更新するためにかなりの運用負荷を強いられているのが実情です。
SIEMはデータを集約、保存、管理する機能は充実しており、コンプライアンス対応、フォレンジック用途にはとても有用なソリューションです。しかしながら、脅威分析、検知機能をフル活用するためには上述の課題を解決しなければなりません。
「XDR」によって網羅的な脅威検出を確実かつ手軽に実現
こうした課題を克服し、網羅的な脅威検出を確実かつ効率的に行えるソリューションとして最近注目を集めているのが「XDR(Extended Detection and Response)」です。XDRはSIEMと同様、サーバーやネットワーク機器、エンドポイント端末、各種セキュリティ製品からログ情報を収集し、相関分析を行うことで脅威の全体像を可視化することができます。
一見するとSIEMと似ているように見えますが、SIEMとの最大の違いは、ユーザーがシステムの構築・運用の作業を行う必要がない点です。XDRはクラウドサービスとして提供され、ユーザーよる分析ルールやプレイブックのカスタマイズ、アップデートは不要です。社内ネットワークだけでなくクラウドから情報をXDRに集約し、自動で相関分析、脅威検知を行い、XDRプラットフォーム上からリモートで対応を実行し、また推奨策を提示します。
サイバーリーズンではXDRソリューション「Cybereason XDR」を提供しており、2022年から一部のユーザー企業に先行導入していましたが、2023年4月よりすべての企業・組織を対象に本格提供を開始しました。
Cybereason XDRは、弊社のEDR製品「Cybereason EDR」やNGAV製品「Cybereason Endpoint Prevention」はもちろんのこと、他社製のセキュリティ製品やネットワーク製品、クラウドサービスなどと連携して情報を収集することができます。一例を挙げると、現時点では「Microsoft 365」「Okta」「AWS」をはじめとするクラウドサービスや、Palo Alto社やFortinet社、Cisco社などの各種セキュリティ製品やネットワーク機器と連携しています。今後、連携できる製品を拡大する予定です。
また単に製品を提供するだけでなく、Cybereason XDRを利用した脅威の監視や検知、対応の作業を提供する「Managed XDR」サービスも提供しています。サイバーリーズンの専門のアナリストが24時間365日監視し、脅威を検知した際はお客様へ推奨策を提示するため、ユーザーは「脅威に対して何をすればよいのか?」を素早く把握し対処へ映ることができます。
XDRの肝となるのは、情報資産が保存されているPC、サーバーを保護するEDRの検知性能です。Cybereason EDRはエンドポイントセキュリティの評価を行うMITRE ATT&CK Round 4で最高評価を獲得しているため折り紙付きです。
XDRは複数のソースデータを集約し、監視及び検知を自動化することで、社内環境を超えるような広範囲の攻撃を可視化することができます。インシデント対応時間を短縮させることによって運用コストを削減し、事業継続性を向上することができます。多様化するサイバー脅威から大切な情報資産を保護するための対策として、ぜひCybereason XDRの導入を検討していただければ幸いです。
サイバー攻撃を防御するためのXDR入門ガイド〜少ない労力で強力なセキュリティ効果を手にするには〜
多くのセキュリティ担当者にとって、サイバー脅威はもはや制御不能な状況に陥っています。攻撃手法をますます巧妙化させる攻撃者は、従来の脅威検知とインシデント対応のアプローチに対して優位性を大きく高めています。
一方、防御側は、スキル不足、拡大の一途をたどる攻撃ポイントの可視化の欠如、およびアラートと誤検知によってアナリストを困惑させる多数のサイロ化したセキュリティツールに悩まされ続けています。
そこで期待されているのがXDR(Extended Detection and Response)です。本資料では現実のビジネスとセキュリティ運用上の課題を大規模で解決するXDRの特長やCybereason XDRについてご紹介しています。皆様のXDRに関する情報のアップデートにお役立てください。
https://www.cybereason.co.jp/product-documents/brochure/10243/