- 2022/10/06
- XDR
XDRはセキュリティチームが直面する課題をいかに解決するのか
Post by : Anthony M. Freed
2022年の到来は、新たな脅威の波と、それらの脅威が標的とする多くの新しいアタックサーフェスをもたらしました。Gartnerは、このような状況を評して、「組織のデジタルフットプリントが拡大し、サイバーセキュリティの集中管理が時代遅れとなる中、セキュリティおよびリスク関連の管理者は重大な岐路に立たされている」と述べています。
脅威状況とアタックサーフェスが進化し続ける中、企業や組織は、自らのネットワークの内外からもたらされる新たな攻撃シーケンスにさらされています。バイデン大統領が最近発表した大統領令は、重要な国家インフラのサイバーセキュリティの姿勢を改善するためものであり、この状況の緊急性を裏付けるものとなっています。
ランサムウェア脅威が拡大し猛威を振るう中で、防御者のミッションを複雑にしている問題がいくつか存在しています。たとえば、ハイブリッド環境、サプライチェーンの脅威、ツールの無秩序な増殖、人材不足、アラート疲れなどが、セキュリティ運用を困難にし続けています。
Gartner社のアナリストであるPeter Firstbrook氏は次のように述べています。「これらの問題は単独で存在するのではなく、複合的に作用しています。このようなリスクに対処するために、CISOは、侵害を阻止する技術者からサイバーリスクを管理する企業戦略家へと、その役割を移行する必要があります」。
では、どのようにサイバーリスクを管理すればよいのでしょうか?そのためには、脅威そのものと同じくらい革新的なソリューションを導入する必要があります。ここで、注目すべきXDR(Extended Detection and Response)の登場となります。
ランサムウェア〜より複雑化し、かつ件数も増加する〜
防御の継続的な改善により、一部の組織では攻撃による影響を減らすことができましたが、当然ながら、攻撃者が防御者の一歩先を行くために、彼らによるさらなるイノベーションを止めることは不可能です。
例として、中国にあるゼロデイ攻撃施設が挙げられます。Security Weeklyによれば、「新しいゼロデイ公開規則が施行され、中国の<攻撃者>が最新のソフトウェア製品を悪用する技術的な卓越性を示し続ける中、2022年には、中国のサイバー能力の規模が前面に出てくるであろう」と述べています。
さらに、今日の脅威状況は、広範な種類のカスタム攻撃とコモディティ攻撃から構成されているため、広く適用可能でスケーリングが可能なソリューションが求められています。Security Weekly誌のRyan Naraine氏は次のように述べています。「2022年末までに、金銭的な動機を持つサイバー犯罪者が、国家レベルのAPTオペレーターと協力することで、サプライチェーン型マルウェアの混乱状態がもたらされるでしょう。そして、それは長く苦しい戦いになるでしょう」。
ハイブリッドおよびクラウド環境
サイバーフィジカルシステム、パブリッククラウド、プライベートクラウド、ハイブリッド環境、およびその上で実行されるすべてのVM、コンテナ、実行可能ファイル(無数のIDを含む)の利用が拡大されるほど、攻撃者がネットワークの継ぎ目に身を潜めるための完璧な条件が整うことになります。このような変化はリモートワークを推進した結果であると、Gartnerは指摘しています。実際、ナレッジワーカーの60%が現在リモートワークを行っています。
クラウドへの移行が急務であることは確かに理解できますが、それにより、ネットワークの進化が安全性を維持する能力を上回ってしまうという「DevOps問題」が再燃する可能性があります。このため、Gartnerは、セキュリティリーダーが、より多様化したネットワーク構成に対するリスクを管理するために、「セキュリティの監視、検知、対応に関して、従来のアプローチの先を思い描く」ことを提案しています。
サプライチェーンのリスク
Gartnerの予想では、2025年までにサプライチェーン攻撃件数は、昨年の3倍に増加するとのことです。また、2022 Cybersecurity Outlookでは、「オープンソースソフトウェアのエコシステムを標的とする脅威アクターが増えた結果、SolarWindsタイプのサプライチェーンメガハックが大きなニュースになるだろう」と予測されています。
オープンソースモデルの利便性、可用性、柔軟性は両刃の剣であるため、上流のベンダーを入念に調査し、かつ下流のバグをキャッチできるツールを用意することが必要となります。
アラート疲れとツールの無秩序な増殖
クラウド環境に関する可視性を確保するために、企業は、エコシステムをよりプロアクティブに監視する方法へと切り替えつつあります。これは良いことですが、多くの場合、これには多くの新しいテクノロジーが必要となります。適切なトレーニング、人材、時間がなければ、これらのツールは埃をかぶった「シェルフウェア」となり、投資が無駄になる可能性があります。
ツールの無秩序な増殖は、サイバー戦略を乱雑にし、混乱させ、非効率的なものにします。セキュリティソリューションを探す場合、企業や組織は、自らのニーズを明確に定義し、より少ないコストでより多くのことを実現できるツール(またはSaaSソリューション)を探す必要があります。
Gartnerは次のように述べています。「それは、交渉力の低下や潜在的な単一障害点などの新たな課題をもたらす可能性もあるが」、統合自体は「複雑さを軽減し、コストを削減し、効率を高め、全体的なセキュリティ向上につながる歓迎すべき傾向である」 。
ここで重要なのは、単に「アラートの数を増やす」のではなく、より良いセキュリティ成果を得るための投資を行うことです。機能をプラットフォームに統合することで、スタックの複雑さに関する問題を解決できますが、それよりも、スタックにより生成されたアラートを相互に関連付け、コンテキストを提供できるようになることの方が重要です。アラートの数が多いほどSOCの防御力が向上することは絶対にありませんが、数は少ないが実用性の高いアラートを生成することは可能です。
今もなお人材不足は続いているか?
労働市場における大量の離職は、サイバーセキュリティに大きな打撃を与えました。最近の調査によれば、180万人ほどのスキルを持ったサイバー人材が不足する可能性があると言われています。Security Weekly誌のRyan Naraine氏は次のように指摘しています。「サイバーセキュリティの重大な危機が原因で疲弊し過労に陥っている熟練者は、今後も大量に離職するだろう。その結果、セキュリティプログラムは、重要なポジションを埋めるのに苦労することになるだろう」。
熟練したセキュリティ専門家が存在しない場合、企業や組織は、SOCの低レベルの手動タスクのかなりの部分を自動化する機能を提供するソリューションに注目する必要があります。これは、より少ない数のアラートで、より高精度の検知を行えるようにするソリューションであり、リアルタイムで自動化された対応措置を実行するための選択肢となります。
XDRは、そのような目的を達成するために設計されたものです。複数のポイントソリューションから収集した利用可能なすべてのテレメトリを取り扱い、重要なインテリジェンスを「フィルタリング」する必要なく処理した上で、そのような情報を自動化された形で操作できるようにするソリューションを想像してみてください。そのようなソリューションがあれば、企業や組織は、マシン並のスピードでデータを意思決定へと変換できるようになります。
戦力増強ツールとしてのXDR
AI駆動型のXDRは、継続的な脅威の検知と監視、および自動化された対応をエンドポイントを越えて拡張することで、アプリケーション、アイデンティティおよびアクセスツール、コンテナ化されたクラウドワークロードなどから収集したテレメトリとのディープなコンテキストに基づく相互関連付けを提供します。
また、AI駆動型のXDRは、脅威インテリジェンスのストリームを取り込むことで、既知の攻撃に対する防御を可能にするほか、AIと機械学習(ML)を使用して、これらの異なる資産全体から取得したテレメトリの相互関連付けを自動的に行うことで、完全な攻撃のストーリーをリアルタイムで提供します。この機能により、セキュリティアナリストは生成されたすべてのアラートをトリアージする必要がなくなるため、実際の脅威により迅速に対処できるようになります。
さらに、XDRを使用することで、セキュリティチームは、絶え間なく押し寄せる脅威アラートによるノイズを排除することが可能となるほか、セキュリティ担当者は、トリアージや誤検知の追跡に費やす時間を減らし、組織全体のセキュリティ体制を改善するためにより多くの時間を割けるようになります。
AI/MLテクノロジーは、大規模なデータセットを高精度で分析することを得意としています。これにより、人間の手による分析では到底かなわないスピードと処理量で疑わしいイベントを特定できるようになります。この結果、これまで人手による分析が必要だったイベントの検知を自動化することや、ネットワーク上のノイズからシグナルを選別するという非効率的な作業からセキュリティチームを解放できるようになります。
AI駆動型のXDRは、行動分析や振る舞いの痕跡(IOB)を用いることで、攻撃者が実際にどのようにキャンペーンを行うかについて、より詳細な視点を提供できます。このようなオペレーション中心のアプローチは、攻撃をより早期に検知することに秀でています。特に、このアプローチを使うと、マルウェアのシグネチャやIPアドレスのような既知の侵害の痕跡(IOC)を利用することでは特定できない、未知のツールや戦術を用いた高度な標的型攻撃を検知できるようになります。
AI駆動型のXDRソリューションでは、1つのコンポーネントを見つけると、潜在的に悪意ある行動の関連チェーンを迅速に確認できるため、防御者は、影響を受けるすべてのユーザー、デバイス、およびアプリケーションに関して、根本原因からオペレーション全体を確認できるようになります。アナリストが手作業でデータを照会することにより、数時間または数日かけて個々のアラートを検証するのではなく、1秒あたり数百万件のペースでデータの相互関連付けを自動的に行うには、AI駆動型のXDRが不可欠です。
このような可視性を利用することで、セキュリティチームは、イベントが重大なセキュリティ問題になる前にそれに対応し、攻撃者の負担を増やすように設計された対策を導入できるようになります。
XDRは問題解決の特効薬ではないため、当面は人間とAI駆動型のソリューションが協力する混合環境が間違いなく必要となります。それでもなお、AI駆動型のXDRは、セキュリティチームのすべてのメンバーの効率を高めると同時に、セキュリティスタック全体の有効性を高めることでしょう。
【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜
サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。
昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。
このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/
