- 2023/04/12
- XDR
XDRとは何か?〜XDR(Extended Detection and Response)の基礎知識とメリット
Post by : Cybereason Security Team
セキュリティチームにかかる過剰な負担、不十分な可視性、そして過剰な量の脅威アラートは、セキュリティインシデント対応に大きな影響を及ぼします。今日のサイバー攻撃は非常に巧妙化および複雑化が進んでおり、組織内を横断する攻撃が増加しています。このため、今日のサイバー脅威に立ち向かうためには、昔からよく言われるように「現代の問題を解決するには現代のソリューションが必要となる」ことを十分理解しておく必要があります。このような課題を解決できる現代のソリューションの1つがXDRです。
ところで、XDRとはそもそも何なのでしょうか?XDRはいかに機能し、どのようなメリットをもたらすのでしょうか?そして、XDRは現代の問題を解決する最良の選択肢なのでしょうか?この記事では、これらの疑問に回答します。
XDR(Extended Detection and Response)とは
XDRとは「Extended Detection and Response」の略で、インシデントの監視と対処の両方を行うサイバーセキュリティソリューションの一つです。XDRの適切な定義の1つとして、「クロスレイヤー型の検知・応答ツール」が挙げられます。言い換えると、エンドポイント、電子メール、サーバー、クラウド、ネットワークなどの、さまざまなセキュリティレイヤーを通じてデータを収集した上で、それらを相互に関連付けるものです。つまり、XDRを使用することで、セキュリティチームは、エンドポイントだけでなく、複数のセキュリティレイヤーにわたって一元的に脅威の検知、調査、対応が行えるようになります。これにより対応能力を高め、生産性を向上させることができるほか、コストを削減できるようになります。
「XDRとは?」〜サイバーセキュリティ入門者向けトレーニング動画〜
シリーズ第4弾の「XDRとは?」では、テレワーク・デジタル化によるセキュリティの問題点を踏まえ、「XDR(Extended Detection and Response)」の基本知識・特長について約3分で分かりやすく解説しています。
XDRの仕組み
XDRは、エンドポイントだけでなく、複数のセキュリティソリューション、サービスのデータから悪意のあるログを抽出、相関解析を行い、潜在的な攻撃を特定することで、悪意ある脅威の検知を支援します。また、XDRは、効率の良い調査を実現するために時系列で脅威を把握することができます。これを通じて、以下のようにセキュリティチームが何をすればよいのか把握することができます。
- 感染経路は?
- エントリポイントは?
- 攻撃の起点は?
- その他の関与した部分が存在しているか?
- 脅威がいかにしてシステム全体に広がったか?
- 他のユーザーも脅威にさらされたか?
XDRがもたらすメリット
XDRプラットフォームは、導入した企業や組織に複数のメリットをもたらします 。まず、同プラットフォームは、組織内のインフラストラクチャのさまざまな部分からセキュリティに関するテレメトリを収集します。この機能により、SIEMやSOARなどのソリューションが不要となるほか、セキュリティチームが持つ分散ネットワークへの可視性を向上できます。
XDRがもたらす第1のメリットとして、コンテキストを無視した脅威のアラートを大量に配信しないことが挙げられます。ディープなコンテキストと相関関係を自動的に提供するため、チームメンバーは、裏付けのないアラートを手作業でトリアージしたり調査したりするような面倒な作業から解放されるほか、過剰な誤判定を行う可能性を軽減できます。
XDRの第2のメリットとして、セキュリティチームによる組織のインフラストラクチャの統一的な把握を妨げる「情報のサイロ化」を打破することが挙げられます。ファイアウォール、アンチウイルスソリューション、EDR、IAM(Identity and Access Management)、CWP(Cloud Workload Protection)などの機能やその他のセキュリティソリューションを、独自の検知および応答アプローチへと統合することで、これを実現しています。
XDRの第3のメリットとして、企業や組織はアラート過多のスクランブル状態から、効率的なオペレーション中心のセキュリティアプローチへと移行できるようになることが挙げられます。ここで言うスクランブル状態とは、セキュリティチームが、絶えず到着する脅威アラートに遅れずについて行こうとするリアクティブ(事後対応的)な姿勢を意味します。そのようなプロセスでは、セキュリティ専門家は、攻撃チェーン全体を手作業でつなぎ合わせつつ、複数の脅威アラート間に関連するコンテキストがないかを調査する必要があります。このような作業において、セキュリティ専門家は、複数の誤判定を調査することを求められます。
これに対して、XDRでは、攻撃シーケンス全体を構成する行動の連鎖に焦点を当てたオペレーション中心のアプローチを採用しているため、これを使うことで、セキュリティチームは、攻撃の個別要素を修復するのではなく、攻撃全体を終了させることができます。たとえば、エンドポイント上のマルウェアを検知して削除するだけでは、ハッキングされたユーザークレデンシャルが再び悪用されるのを防ぐためにはほとんど役に立たず、ネットワークを通じた攻撃者のパーシステンスにも対処できません。
ここで、XDRがもたらす最後のメリットとして、「対応の自動化」が挙げられます。XDRを使用する場合、セキュリティチームは手動による対応プロセスに頼る必要がなくなります。なぜなら、XDRプラットフォームを使うと、セキュリティチームは検知と対応のプレイブックを作成し、それを通じて攻撃に対応するための主要なステップを自動化できるようになるからです。XDRによる自動化された分析、脅威の可視化機能をセキュリティチームが活用することにより、インシデントにかかわる調査時間を短縮することができます。
最新のサイバー脅威においてXDRが重要である理由
最新のサイバー脅威には、従来のサイバーセキュリティのアプローチだけでは効果的に対処できません。たとえば、EDRを取り上げてみましょう。これらの手法は、脅威を継続的に監視し、対応を自動化する際には有効ですが、その対策範囲はエンドポイントのみにとどまり、組織のインフラストラクチャのすべての側面をカバーするものではありません。
さらに、一部のEDRおよびXDRツールは、エンドポイントレベルで利用可能なすべてのテレメトリを取り込む機能を持っていません。このようなツールは、検知に役立つ可能性があるテレメトリすらも排除する「スマートフィルタリング」に頼っています(しかし、これは彼らが主張するほど「スマート」なものではありません)。これらのツールでは、検知を戻す前に、すべてのデータをクラウドに送信して分析する必要があるため、このような手法を取らざるを得ないのです。また、プラットフォームが大規模なデータ量に対応できないことを理由に、エンドポイントからのテレメトリをフィルタリングしているベンダーは、真のXDRソリューションを提供できません。なぜなら、真のXDRではテレメトリ量が飛躍的に増大するからです。
サイバーリーズンは、エンドポイントから企業・組織のIT環境全体におけるサイバー攻撃を阻止するために、国内シェアNo.1のEDR製品「Cybereason EDR」をベースにしたベンダーロックインのないオープンなXDRソリューション「Cybereason XDR」を提供しています。企業・組織のIT環境全体(エンドポイント、ネットワーク、アイデンティティ、クラウド、ワークスペースを含む)のログデータを解析し、攻撃に関する統一的なストーリーを可視化することで、これまでにない速さでサイバー攻撃を検知、対処することができるGoogle Cloud Platformをベースにしたサイバー攻撃対策プラットフォームです。複数のソリューションから数千件ものアラートを一元的に収集し、自動で分析し、脅威を検出、把握、対処を行うことができるXDRは、企業のセキュリティを強化するために必須の選択肢です。またXDRによって有事だけでなく平時におけるセキュリティチームにかかる過剰な負担を軽減し、有事においてはインシデント対応時間を短縮することによって、ビジネスの早期復旧を実現することができます。
その他に弊社が提供する弊社が提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。
加えて、自社内でEDR/XDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。
XDR入門ガイド〜少ない労力で強力なセキュリティ効果を手にするには〜
多くのセキュリティ担当者にとって、サイバー脅威はもはや制御不能な状況に陥っています。攻撃手法をますます巧妙化させる攻撃者は、従来の脅威検知とインシデント対応のアプローチに対して優位性を大きく高めています。
一方、防御側は、スキル不足、拡大の一途をたどる攻撃ポイントの可視化の欠如、およびアラートと誤検知によってアナリストを困惑させる多数のサイロ化したセキュリティツールに悩まされ続けています。
そこで期待されているのがXDR(Extended Detection and Response)です。本資料では現実のビジネスとセキュリティ運用上の課題を大規模で解決するXDRの特長やCybereason XDRについてご紹介しています。皆様のXDRに関する情報のアップデートにお役立てください。
https://www.cybereason.co.jp/product-documents/brochure/10243/