- 2022/07/12
- XDR
すべてのXDRが同じように作られているわけではない
Post by : Anthony M. Freed
グローバルなXDR(Extended Detection and Response)市場は、今後10年間で大幅な成長が見込まれています。World Wide Technology社の報告によれば、同市場は、2021年から2028年までの間に複合年間成長率20%近くで成長し、2028年には20億6000万ドルの規模に達すると予想されています。
このような予測される成長期間において、すでにXDRソリューションを提供しているセキュリティベンダーが各自のソリューションに磨きをかけるであろうことは間違いなく、さらに新しいプレイヤーもその競争に参加することになるでしょう。しかし、このような多様性がすべて、顧客となる企業や組織にとって必ずしも良いことであるとは限りません。
今日、非常に多くのXDRソリューションが市場に出回っていますが、企業や組織は、どのソリューションを選択するかについて注意する必要があります。なぜなら、すべてのXDRプラットフォームが同じように作られているわけではなく、すべてのXDRプラットフォームが同じ種類の価値を提供するわけではないからです。ここでは、XDRプラットフォームを、いくつかのタイプに分けて紹介します。
データフィルタリング:最も価値の低いプラットフォーム
ベンダーの中には、自らのEDR(Endpoint Detection and Response)ソリューションにおいて、利用可能なすべてのテレメトリを取り込む(インジェストする)ことができないベンダーもいることに注意する必要があります。そのようなベンダーは、結果として、「データフィルタリング」と呼ばれる手法に頼らざるを得なくなります。彼らは、データフィルタリングを通じて、検知に役立つ可能性のあるテレメトリを排除することになります。彼らに選択の余地はありません。なぜなら、彼らのモデルでは、検知を行う前に、いったんすべてのデータをクラウドに送信して分析する必要があるからです。
このようなベンダーのプラットフォームが、企業や組織を安全に保つことができるかどうかは大いに疑問です。実際、彼らのプラットフォームがEDR経由の検知を行うために、利用可能なすべてのエンドポイントテレメトリを同時に処理できないのであれば、同プラットフォームが、非エンドポイントソースからさらに多くのテレメトリを効果的に取り込むことなどできるはずがないからです。
効果的なXDRソリューションは、エンドポイントだけでなく、クラウドのワークロード/コンテナ、ユーザーID、一連のビジネスアプリケーションスイートなどからのテレメトリの取り込みに対応できる必要があります。一方、データフィルタリングを利用しているようなソリューションは、効果的なXDRを実現できるでしょうか?いいえ、できません。これは、プラットフォームの能力に基づいた現実なのです。
ネイティブXDRとオープンXDRの比較
データフィルタリングに続いて、 「ネイティブ」XDRと「オープン」XDRを区別することが重要です。前者は、同じベンダーのポートフォリオに属する「ネイティブ」ソリューションとの統合を通じて、XDR機能を実行するものです。このタイプのソリューションを使うと、セキュリティチームは、XDRプラットフォームの構成に多くの時間を費やす必要がなくなるほか、さまざまなソリューションの複雑な購入プロセスを実行する必要もなくなります。しかし、ネイティブXDRの持つ長所はそれまでです。
ネイティブXDRを導入した場合、企業や組織は「ベンダーロックイン」状態に陥り、すべてのセキュリティ要件を満たしているわけではない1社のソリューションに依存する可能性があります。また、ネイティブXDR製品をフル活用するためには、既存のテクノロジーの一部を交換する必要があるため、結果として現在の投資におけるROIが低下する可能性があります。
これらの欠点は、オープンXDR(または「ハイブリッドXDR」とも呼ばれる)には当てはまりません。オープン型のアプローチを利用すると、企業や組織は、自社のXDRプラットフォームを、自社に最適なあらゆるソリューションと統合できるようになります。ただし、これらのツールは個別に購入する必要があるため、ネイティブXDRプラットフォームの場合ほど統合が厳密ではなくなる可能性があります。
しかしそれでも、企業や組織は、オープンXDRを使用することで、進化し続けるセキュリティ要件を満たすツールを使って仕事が行えるようになります。また、オープンXDRプラットフォームを利用する場合、既存の投資(それらがまだ機能しているならば)を交換する必要はありません。
従来型XDRと先進型XDRの比較
ネイティブXDRとオープンXDRの違いがステップアップしたものが、従来型XDRと先進型XDRの違いです。この区別は、XDRプラットフォームがどのようにデータを収集し、その結果、どのような種類のセキュリティインシデントを明らかにするのに役立つかに関わるものです。
従来型XDRは単純明快です。同XDRは、脅威インテリジェンスとの統合を通じて、既知の攻撃から痕跡情報 (IOC) を見つけ出します。その後、同XDRプラットフォームを使うことで、セキュリティチームは、これらのインシデントに対応できるようになります。ただし、アナリストは関連するすべてのアラートを手動でトリアージした上で、それらのアラートを関連付け、どれが実際のセキュリティイベントに関連しているかを判断し、「我々は攻撃を受けているか?」という質問に答える必要があります。これには時間がかかるため、組織のシステムにさらに侵入する機会をサイバー攻撃者に与えてしまうことにもなりかねません。
一方、先進型XDRは、時間のかかるトリアージと相互関連付けのタスクを自動化することで、このアプローチをさらに一歩前進させるものです。同XDRは、脅威インテリジェンスとの統合だけでなく、人工知能(AI)や機械学習(ML)を利用することで、組織の資産全体における異なるソースから取得したテレメトリに基づいて、コンテキストリッチな相互関連付けを提供します。
また、先進型XDRは、キルチェーン全体に関する可視性を提供するほか、自動的な予測型対応を提供することで、ティア1~2のアナリストの能力をティア3のスキルセットと同等レベルにまで高めます。この結果、効率性と有効性の両方を向上させることが可能となります。
AI駆動型のXDR
企業や組織は、不完全なXDRソリューションに甘んじる必要はありません。幸いなことに、AI駆動型のXDRソリューションを採用するという選択肢もあります。このXDRソリューションを使うと、リアルタイムで完全な攻撃ストーリーを提供できるほか、自動化された応答と共に、継続的な脅威の検知と監視を、エンドポイントを越えて拡張できるようになります。これにより、アプリケーション、IDおよびアクセスツール、コンテナ化されたクラウドワークロードなどを保護することが可能となります。
また、AI駆動型XDRを使うと、企業や組織は、脅威インテリジェンスのストリームを取り込むことで、既知の攻撃に対する防御が行えるようになるほか、AIと機械学習(ML)を利用することで、これらの異なる資産全体から得られたテレメトリの相互関連付けを自動化し、完全な攻撃ストーリーをリアルタイムで提供できるようになります。これにより、生成されたすべてのアラートをトリアージする必要からセキュリティアナリストを解放することで、彼らが実際の脅威に、より迅速に対処できるようにします。
PwCの調査によれば、米国企業の経営幹部の半数以上(52%)がAI/MLの導入計画を加速させていると回答しており、さらに多くの経営幹部(86%)が、2021年末までにAI/MLは自社環境における「主流テクノロジー」となるだろうと答えています。また、AI/MLを利用すると、セキュリティチームは、絶え間ない脅威アラートや誤検知の洪水により生じるノイズを断ち切ることが可能となります。
また、AI駆動型XDRは、行動分析学と IOB(Indicators of Behavior、振る舞いの痕跡)を活用することで、攻撃者がいかにしてキャンペーンを実行するかに関するより詳細な視点を提供します。このようなオペレーション中心のアプローチを使うことで、より早期に攻撃を検知できるようになります。これにより、特に、従来のエンドポイントセキュリティソフトウェアを回避するような、これまでにないツールや戦術を採用した高度な標的型攻撃の検知が可能となります。
潜在的な悪意ある振る舞いの連鎖を通じて、ある攻撃の1つのコンポーネントを見つけることで、防御者は、影響を受けるすべてのユーザー、デバイス、およびアプリケーションにおける攻撃全体を、根本原因から確認できるようになります。AI駆動型のXDRが不可欠となるのはこの点においてです。アナリストが手作業でデータを照会し数時間~数日かけて個々のアラートを検証するのとは異なり、AI駆動型XDRを使うと、1秒間に数百万件のペースでデータの相互関連付けを自動的に実行できます。
このような可視性を通じて、セキュリティチームは、あるイベントがセキュリティ上の重大な問題に発展する前にそれに対応できるようになるほか、攻撃者の負担を増やすような対策を導入することが可能となります。
サイバーリーズンでは、Google Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年後半に日本市場向けに提供開始を予定しています。
【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜
世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。
本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/
