サイバーセキュリティの脅威は益々増大し、昨年もEmotetの再流行やランサムウェアによる甚大な被害の報道が多く見受けられました。
各企業ではゼロトラストモデルによるセキュリティ対策の強化が進んでいますが、対策の対象は端末、ネットワーク、ID管理、認証、サーバ、メール、クラウドと多岐にわたります。それぞれの領域全てを1つのソリューションで統合できるものはなく、セキュリティ担当者は多くの対策ツールから出力されるアラートの確認、調査、対応を行う必要があり、高度なスキルが求められると共に運用の負荷は非常に高くなっています。このような課題を解決するソリューションとして注目されているのがXDR(eXtended Detection and Response)です。
従来より、ネットワーク上の通信から異常を検知するFW/IPS/NDR、端末上の振る舞いから異常を検知するEDRなどが利用され、それを監視するSOCを活用することで、脅威を早期に検知し対処するという手法がとられてきました。しかし、最近ではクラウド、ID管理など監視すべき範囲が広がっており、ツールの検知能力も向上しているため、過検知も含め大量のアラートが発生し、セキュリティ担当者はその内容の確認と調査に時間を費やすことになります。
また、実際に脅威となるようなインシデントが発生してしまった場合は、侵入経路の調査や被害範囲の特定、復旧に向けての対処等を行うため、さまざまなログを分析する必要があり、大変な労力と専門のスキルが必要となります。
一方でセキュリティ人材の確保、育成は各企業での大きな課題の一つと言われており、限られた人的リソースでこのような状況に対応していくことは簡単なことではありません。
これに対してXDRは、監視対象を拡大・統合し、AIや機械学習を用いて脅威を分析する手法を用いることで、セキュリティ運用における課題である専門スキルの補完と調査・対応時間を短縮するソリューションを提供します。
具体的には主に次のような機能を提供します。
① 様々なログを収集し一元管理
各セキュリティツール及び各システムの様々なログを集約し、一元的に可視化する。
② 相関分析による調査時間の短縮と検知精度の向上
AIにより様々なログと脅威情報を元に各種ログデータを自動的に相関付けし、関連性のあるものを1つのイベントとして集約することで、影響範囲を把握し、調査にかかる時間を大幅に短縮すると共に脅威の検知精度の向上を図る。
③ 解析とトリアージの自動化
集約されたイベントを解析、リスク評価を行い、緊急度や優先度を決定し、対処の必要なイベントを洗い出す。
④ マネージドサービス
アナリストによる追加分析も加え、対処すべき内容を整理した上で利用者に共有し対応を支援する。
これらのXDRの機能を活用し、統合的に脅威を監視・自動解析することで、発生している脅威の全体像を短時間で把握することが可能になり、セキュリティ運用担当者が行う一連の作業の大幅な効率化と迅速で的確な対応が可能になります。
XDRは様々なメーカーやベンダーからソリューションがリリースされてきており、当社では機能面、運用面の調査・検証を行いお客様に最適なソリューションをご提供できるよう取り組みます。
NDR : Network Detection and Response.通信を解析することで異常を検出する仕組み
トリアージ: インシデントの重要度や緊急度の見極め
IR : Incident Response. 発生したインシデントの対応