- 2022/01/13
- XDR
あらゆる規模の組織でXDRが「必要」である理由
Post by : Anthony M. Freed
ビジネスコンサルティング企業のGrand View Researchによると、世界のXDR(Extended Detection and Response)市場の今後7年間のCAGR(年平均成長率)は19.9%、2028年までに20.6億ドルに達すると予想されています。この予測の背景には、増え続ける新規および既存のセキュリティソリューション間の統合をXDRによって進められるようになるという市場の楽観的な見方と、セキュリティチームがXDRを利用して、さまざまな性質を持つ重要資産の可視性を高め、攻撃を早期に検知・阻止できるようになるという考えがあります。
XDRはEDR(Endpoint Detection and Response)の機能をエンドポイントのみならず、ユーザーペルソナ、アプリケーションスイート、クラウドワークロードなどにも拡張するものであるため、これらの想定は間違ってはいません。XDRは、ネットワーク関連のすべての資産に対する継続的な監視と自動修復機能の配備を重視したセキュリティ戦略に基づいています。
XDRは、複数のソースからテレメトリを取得し、それらをクラウドワークステーション、IoTデバイス、ネットワークトラフィックフロー、あるいは高度な振る舞い検知を強化する他のセキュリティデータストリームなどのイベント詳細と自動的に相関付けることにより、悪意のある活動を早期に発見します。XDRは、このようにセキュリティスタックのすべてのテレメトリを統合することにより、攻撃が重大なセキュリティインシデントになる前に、セキュリティチームが組織のインフラストラクチャにおける潜在的な脅威を包括的に可視化することを可能にします。
しかし、XDRの必要性を確信できない組織もあるのではないでしょうか。XDRはセキュリティ予算が潤沢な組織や、セキュリティプログラムが非常に成熟している組織のためのものではないかと疑問に思っているかもしれません。現在、または近い将来に、XDRに投資する価値があるのか、疑問に思っているかもしれません。XDRに懐疑的な人のために、もう少し深く掘り下げてみましょう。
何はさておき、XDRのビジネス上のメリット
このように集約されたセキュリティ機能を実現しようとするタイプのセキュリティ技術はXDRが初めてではありません。たとえば、SOAR(セキュリティのオーケストレーション、自動化、対応)プラットフォームは、セキュリティチームによる検知と対応のプロセスの合理化を目的としています。しかし、サイバーセキュリティのニュースサイトであるDark Readingには、これらのプラットフォームを導入するために必要なスキルは組織内の専門知識を超えていることが多いと書かれており、セットアップに多額の費用がかかる可能性があるという事実は言うまでもありません。
SOARの課題はそれだけではありません。これらのツールは、あまりにも多くの誤検知やアラートを生成する傾向があるため、アラート疲れを引き起こし、セキュリティチームは誤検知の調査にリソースを費やさざるを得なくなります。SIEMツールの場合、アナリストは実用的なインサイトを伴わないセキュリティアラートの洪水に悩まされ、セキュリティ担当者はこれらのアラートの大部分が実際のセキュリティ問題から発したものではないにもかかわらず、それぞれのアラートを調査しなければなりません。
これらの誤検知は、アナリストの時間の浪費を招き、手作業による処理に追われて他の重要なセキュリティプロジェクトに専念できなくなることから、組織のセキュリティポスチャ全般を悩ませるアラート疲れの状態に陥らせます。
それとは対照的に、XDRは、対応のためのアクションを自動化するSOAR的な機能を提供しますが、コストは数分の1です。さらに、多くのXDRソリューションでは、セキュリティチームが組み込みのポリシーベースの修復アクションを自動化できるようになっています。これにより、セキュリティチームがインシデントを修復するために実行しなければならない手作業の手順が減り、組織が投資を最大化するために必要とする組織内の専門知識も少なくて済みます。
これはEDRも同様です。EDRは従来のアンチウイルスと次世代アンチマルウェアのソリューションよりもステップアップしていますが、EDRの範囲はエンドポイントのみに限定されているため、包括的な保護を提供することができません。数年前であればサイバー攻撃はエンドポイントデバイスへの感染のみに重点を置いていたかもしれませんが、現在の高度なキャンペーンはそうではありません。
このような一連の攻撃は、エンドポイントだけでなくエンドポイント以外の資産をも標的とし、ネットワーク全体を横方向に移動して機密情報を盗み出します。エンドポイントに重点を置いているため、EDRでこの悪意のあるアクティビティをすべてタイムリーに検知することはできません。
このことがXDRに注目が集まっている理由の説明になっています。XDRは、エンドポイントで何が起こっているかとともに、主要な資産に対してイベントデータを自動的に相関付けます。したがって、アナリストは、システムが直面しているセキュリティ脅威をリアルタイムでより包括的に把握できます。XDRは、関連するすべてのテレメトリを収集してAIによって分析し、対応に役立つコンテキストを追加します。これにより、エンドポイント、オンプレミスとクラウドのワークロード、ユーザーのアイデンティティなどの全般にわたり、対応を真の意味で自動化することが可能になります。
Google Cloudと協力してXDRイノベーションを推進
サイバーリーズンは先日、Cybereason XDR Platformが「Forrester New Wave™: Extended Detection and Response (XDR) Providers, Q4 2021」で「有望ベンダー」に選ばれたことを発表しました。また、サイバーリーズンは、今年初めにGartner Magic Quadrant for Endpoint Platformsにデビューし、エンドポイント保護分野における「ビジョンの完全性(Completeness of Vision)」を表す「Visionary Quadrant」で、最も右側に位置付けられました。
また、サイバーリーズンは、セキュリティアナリティクス企業であるempowを買収することで、XDR分野における同社の勢いを継続させています。
なお、2021年10月12日、サイバーリーズンとGoogle Cloudは、エンドポイント、ネットワーク、クラウド、ワークスペースにわたるXDR(Extended Detection and Response)ソリューションを迅速に構築し、迅速に市場に投入するために共同で取り組んでいくと発表しました。詳しくはこちらのブログ記事をご覧ください。
XDRの基礎知識についてはこちらのブログ記事で紹介しています。
XDR(Extended Detection and Response)とは何か?〜XDRの基礎知識とAdvanced XDR
【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜
ランサムウェアは日々脅威となっており、大規模な攻撃は週末や休日にしかけられることが多くなっています。
本レポートでは、休日や週末にランサムウェアの攻撃を受けた影響や今後のさまざまな対策についての洞察を得るのに最適な資料となっています。加えて、ランサムウェア攻撃を防御する準備が整えられるよう、リスクに関する洞察と緩和策に関するガイダンスを提供しています。
https://www.cybereason.co.jp/product-documents/survey-report/7253/
