- 2023/06/29
- XDR
2023年のXDRはどうなる?:サイバー戦場の「輝ける騎士」となるか、クラウド上にもう1つの「城」を築くだけになるか
Post by : Eric Sun
XDRソリューションに投資する際に自問すべき3つの重要な問い
今日のサイバーセキュリティ状況において、セキュリティチームは、統合された検知および対応プラットフォームを切実に必要としています。しかし、XDR(Extended Detection and Response)の登場にもかかわらず、多くの場合、その成果は期待を満たさないものとなっています。企業や組織は皆、効果的な防止策、攻撃のエミュレーション、セキュリティ運用の改善、そしてROIの向上を実現するために努力しています。
間違いなく、リモートエンジニアリングの世界は複雑さを増しており、その結果、従業員やデータを保護しつつアップタイムを維持することが極めて重要になっています。このようなビジネスにおけるプレッシャーの高まりを背景として、私たちは、XDRがベンダーの統合や「マネージド型の検知と対応」を実現するために、いかに役立つかを理解する必要があります。
「すべてを守る」ことができる単一の製品など存在しないと認識することが不可欠です。現実には、ワークスペースだけでなく、IDインフラやクラウドインフラを標的とした自動化されたサイバー攻撃が急増しているのです。
このような進化し続ける状況の中で、XDRは、EDR、NDR、SIEM、SOAR、ITDR、CDRなどの持つ主要な機能を活用する、検知と対応の「拡張」として位置付けられています。要するに、XDRは、依然としてやや分かりにくい分野に留まっているものの、ベンダー同士の提携を構築し、脅威の共有を促進し、行動指標を洗練させることで、セキュリティ業界全体を前進させてきたのです。そのような素晴らしい進歩の実例としては、MITRE ATT&CKのRound 5テストなどが挙げられます。
しかし、ここで疑問が残ります。XDRはセキュリティチームに価値をもたらすことができるのでしょうか?この記事では、XDRがサイバー戦場における「輝ける騎士」になれるかどうかを判断するのに役立つ3つの重要な問いを紹介します。
XDRは重要なセキュリティツールと上手く統合できるか?
市場には非常に多くのXDRソリューションが出回っています。それらの中には、フランケンシュタイン博士の怪物のように無造作につなぎ合わされたものもあれば、防御やガイド付きの対応は提供せず分析のみを提供するものもあります。最初のチェックポイントは、そのXDRソリューションが、利用している既存のセキュリティツールといかに上手く統合できるかを評価することです。
たとえば、次のように自問してみてください。自分の会社が可視性の向上と検知の迅速化を必要としている分野はどこか?また、XDRの導入により恩恵を受ける可能性のある効果的なアラートをすでに生成しているツールはどれか?
チームはより多くのアラートを引き受ける準備ができているか?
XDRソリューションは、第1世代の検知システムとは異なり、主に悪意ある活動に焦点を当てると同時に、アラートノイズを低減します。時代遅れのインターフェイスを通じて、低い品質のアラートのトリアージを行っていると、担当者は、すぐに燃え尽きてしまいます。また、有効性に関する報告を行う方法も用意する必要があります。
最新のセキュリティスタックは、しばしば多くのツールが絡み合った混乱の様相を呈しているため、効果的な管理を行うのが非常に困難になっています。MDRプロバイダーは、ますます多くのデータソースをカバーするようになっており、EDR/SIEMのコンテキスト切り替えやSOARプレイブックの混乱にも対処しなければなりません。
相互関連付け、コンテキスト、優先順位付け、ガイダンスにおいて優れた機能を持つXDRが注目されている理由は、まさにここにあります。
XDRを通じて攻撃エミュレーションをテストすることで、攻撃が環境に与える影響を示すことができるか?
あなたの会社がコンプライアンス要件を抱えているか、または攻撃エミュレーションの演習を計画している場合、XDRをテストすることで、攻撃が与える影響を測定する必要があります。XDRを通じて、ランサムウェアの防御、ブロックされたイベントや不審なイベントの検知、迅速な対応制御が行えるかどうかを評価してみてください。
さらに、インシデント対応、リスク評価、脅威インテリジェンスなど、XDRベンダーが提供するマネージドサービスについても詳しく調べてみてください。これらのサービスは、セキュリティ運用に貴重なサポートを提供するものです。
XDRは、統合された可視性、自動化された分析、ガイド付きの対応機能を提供します。しかし、ほとんどの場合、XDRは、効果的なポイントソリューションや高度に調整されたSOARワークフロー、あるいはSIEMに取って代わるものではありません。XDRを実際に使えるものにするには、マネージド型の検知と対応、インシデント対応、モバイル脅威に対する防御、ランサムウェア、DFIRなどのユースケースにおいて、その使いやすさと、それが解決できる課題に焦点を当てる必要があります。
そして、これらのコアなユースケースをテストすることで、クラウド上に築かれたよくある「城」へと送信される単なるデータストリームとしてではなく、信頼できるサイバーセキュリティパートナーとして高く評価されるようになります。
サイバー攻撃を防御するためのXDR入門ガイド〜少ない労力で強力なセキュリティ効果を手にするには〜
多くのセキュリティ担当者にとって、サイバー脅威はもはや制御不能な状況に陥っています。攻撃手法をますます巧妙化させる攻撃者は、従来の脅威検知とインシデント対応のアプローチに対して優位性を大きく高めています。
一方、防御側は、スキル不足、拡大の一途をたどる攻撃ポイントの可視化の欠如、およびアラートと誤検知によってアナリストを困惑させる多数のサイロ化したセキュリティツールに悩まされ続けています。
そこで期待されているのがXDR(Extended Detection and Response)です。本資料では現実のビジネスとセキュリティ運用上の課題を大規模で解決するXDRの特長やCybereason XDRについてご紹介しています。皆様のXDRに関する情報のアップデートにお役立てください。
https://www.cybereason.co.jp/product-documents/brochure/10243/