- 2023/06/06
- XDR
XDRの基礎:単一のデータプラットフォームを通じて、断片化されたサイバーセキュリティデータを一掃する
Post by : Dan Verton
XDRアーキテクチャを成功させるために必要なこと
効果的なデータ管理と統合は、XDRアーキテクチャを成功させるための中核となる機能です。XDRアーキテクチャを成功させるためには、企業内に存在しているすべてのセキュリティ管理ツールから引き出した関連するすべてのセキュリティデータを、単一のデータプラットフォームへと取り込められるようにするのが必要です。それによって企業や組織がより優れた可視性を達成することを妨げるような境界や制約を一掃することを目指しています。
セキュリティチームは、自社のセキュリティ体制に関する全体的な視点を持つ必要があります。しかし、情報がさまざまな種類のシステム上に散在していることが原因でサイロが形成されているために、セキュリティチームは、組織のセキュリティ体制を正確に把握することが難しくなっています。また、データを手動で統合しようとすると、多くの時間とリソースがかかり、エラーが発生する可能性もあります。さらに、手作業によるデータ統合に頼っていると、脅威の検知と対応に遅れが生じる可能性もあります。
効果的なXDRプラットフォームを利用することで、企業や組織は、エンドポイントをはじめ、IPS、ファイアウォール、電子メール保護ツール、ワークスペースソリューション、IDおよびアクセス管理ツール、SaSSアプリケーション、クラウドプラットフォーム、さらにはOT環境などから重要なセキュリティ情報を収集することにより、このような課題を克服できるようになります。
効果的なXDRプラットフォームは、このようなテレメトリを取り込み、それを「スケーラブルなデータレイク」へと統合します。サイバーリーズンのCISOであるIsrael Barakは、最近のCybereasonウェブキャストに出演した際に次のように述べています。「スケーラブルなデータレイクを、オンデマンドで図式化し、より広範なセキュリティコンテキストを通じてリッチ化することで、これらの異なる種類のセキュリティアーティファクトを集約して相互に関連付けることが可能となり、その結果、悪意あるオペレーションを特定できるようになります」。
しかし、企業や組織は、このような広範な種類のセキュリティアーティファクトを検知と対応の成果へと変えようとする前に、次の質問に答える必要があります。
- 必要なデータをすべて保持しているか?
- すべてのデータを統一できるか?
- どのようなコンテキストを追加する必要があるか?
- データを共通のフレームワークへとマッピングできるか?
- データの動的な相互関連付けを行い、運用上の成果を確認できるか?
リスクに関する可視性と検知レベルを最大限に高めるために、企業は、どのようなXDRデータタイプが自社のニーズに最も適しているかを見極める必要があります。たとえば、クラウド環境でのインシデント検知を強化するために、クラウドテレメトリの取り込みを優先する企業もあるでしょう。また、管理されていないIoTやOTデバイスに関連する高レベルのリスクを理由に、XDRソリューションのエンドポイント保護やXiOT保護情報を最優先で選択する企業もあるでしょう。
Barakは次のように述べています。「XDRソリューションがもたらす最初の成果は、異なる種類のイベントやアラートに対して、意味のあるインシデントコンテキストを相互に関連付ける能力であることを忘れてはなりません。このため、インシデントを高精度で相互に関連付けるために、そこに含まれているコンテキストが必要である思われるすべてのデータソースを、確実に取り込むことが不可欠となります」。
たとえば、IDやアカウントに対するハッキングをXDRで効果的に検知できることを保証するためには、企業や組織は、IDおよびアクセス管理のテレメトリを取り込むだけではなく、エンドポイントのテレメトリ、ワークスペースのテレメトリ、そしてクラウドのテレメトリも取り込むよう検討する必要があります。
Barakは次のように述べています。 「IDをハッキングされたインシデントを効果的に検知し、それをコンテキストと関連付けるためには、攻撃者がハッキングしたIDやアカウントを使ってアクセス権を得ようとする資産に関するテレメトリを、XDRプラットフォームに提供する必要があります。言い換えれば、XDRソリューションのロールアウトを計画し、どのデータソースを優先的に取り込むかを検討する際には、どんなセキュリティ制御がお使いの環境にあるか、そしてどんなセキュリティ制御からのログをXDRプラットフォームに取り込むことかを考えるだけでなく、より優れた検知カバレッジを保証するような完全なインシデントユースケースを考える必要があります」。
XDRを使用せずに統合型の検知および対応プラットフォームを構築するには、レガシーな戦略、ソリューションを調整し管理するための人員、そして過剰なコストが必要になります。XDRは、検知と対応を統一すると同時に、運用を合理化し、効率化を実現します。
Cybereason XDRは、サイバーセキュリティインシデントの検知と対応に特化したプラットフォームであり、幅広い種類のテレメトリソースからデータを取り込み、平均対応時間(MTTR)を短縮することを目的に構築されています。
サイバー攻撃を防御するためのXDR入門ガイド〜少ない労力で強力なセキュリティ効果を手にするには〜
多くのセキュリティ担当者にとって、サイバー脅威はもはや制御不能な状況に陥っています。攻撃手法をますます巧妙化させる攻撃者は、従来の脅威検知とインシデント対応のアプローチに対して優位性を大きく高めています。
一方、防御側は、スキル不足、拡大の一途をたどる攻撃ポイントの可視化の欠如、およびアラートと誤検知によってアナリストを困惑させる多数のサイロ化したセキュリティツールに悩まされ続けています。
そこで期待されているのがXDR(Extended Detection and Response)です。本資料では現実のビジネスとセキュリティ運用上の課題を大規模で解決するXDRの特長やCybereason XDRについてご紹介しています。皆様のXDRに関する情報のアップデートにお役立てください。
https://www.cybereason.co.jp/product-documents/brochure/10243/
