サイバーセキュリティの分野には、アルファベット略語がたくさんあります。AVからEPPやEDR、そして今、話題のXDR至るまで、これら変化し続けるテクノロジーは、サイバーセキュリティの脅威アクターが進化するにつれて、防御する側も歩調を合わせるか、もしくは何歩先回りして対策する必要があるという現実を反映しています。脅威ランドスケープが変化し続けると同時に、ビジネスとオペレーションそのものが技術革新を続けています。ネットワーク境界を管理することができたオンプレミスの世界から、分散型のクラウドを利用したインフラストラクチャに移行してきているのです。さらに、リモートワークと毎月50億回におよぶ電話会議が、ビジネスとオペレーションにおけるセキュリティの確保を複雑にさせています。また、CISOたちが口を揃えて言っているように、サイバー攻撃と、サイバー攻撃者、そして攻撃に利用可能なツールセットの数はますます増加しています。
過去のセキュリティテクノロジーは、最新の複雑で動きの速い脅威ランドスケープに対処するためには設計されていません。データ侵害とIP侵害を伴うランサムウェア攻撃の増加、アラート疲れと人員不足に悩まされ緊張を続けるSOCチーム、既存のセキュリティツールが存在するにもかかわらず、成功してしまう攻撃の急増がその証拠です。
脅威検知とインシデント対応を実現できる、より新しく、より包括的なアプローチが必要なことは明らかです。従来のようにエンドポイントだけを対象とするのではなく、ネットワークやクラウドなど、増え続ける一方の攻撃対象領域も対象とする必要があります。幸いなことに、XDRなら、これらの問題も含めて解決することが可能です。本ブログでは、XDRとは何か?そして、XDRが、ゲームのルールをどのように変更することで、エンタープライズセキュリティチームをより強力にし、脅威アクターに対抗できるようにするかご説明します。
XDRとは?
XDR(Extended Detection and Response)は、EDR(Endpoint Detection and Response)の進化形です。EDR、とりわけ、SentinelOneのActiveEDRは、ラップトップやワークステーションなどのエンドポイントに可視性と自律的なインシデント対応をもたらしましたが、最新のネットワーク環境には、携帯電話やIoTデバイスに始まりコンテナやクラウドネイティブアプリケーションに至るまで、より幅広い種類のシステムが存在しています。
「クロスレイヤード」または「任意のデータソース」における脅威検知とインシデント対応だと呼ばれることもあるXDRなら、エンドポイントのみならず、より多くの製品から取得したデータに基づいて、電子メール、ネットワーク、IDやそれ以外のテクノロジースタックに対して意思決定を行えるようになります。
EDRと比較した場合のXDRのメリットとは?
XDRなら、サイロ化されたセキュリティ対策に取って代わり、統一された観点から組織全体のサイバーセキュリティの課題に対処できるようになります。 XDRは、エコシステム全体から取得した情報のRAWデータを一元的にプールして、幅広いソースからのデータを収集して照合することで、EDRよりも高速で、より深堀され、より効果的な脅威の検知と対応を可能にします。
XDRは、脅威に対して可視性とコンテキストを提供します。これまで見つけることができなかったインシデントを認識できるようになるので、セキュリティチームは、早期に修復してさらなる影響を軽減し、攻撃の範囲を最小限に抑えることができます。典型的なランサムウェア攻撃は、ネットワークを通過し、電子メールの受信トレイに到達してから、エンドポイントを攻撃します。それぞれを個別に調査することでセキュリティ対策を講じてしまうと、組織は不利な立場に立たされます。 XDRなら、セキュリティ対策を統合させて、アクセスの許可、ブロック、削除などを、ユーザーが作成したカスタムルールまたはエンジンに組み込まれたロジックを介して実行できるようなります。
包括的なアプローチによる可視性には、次のようなメリットがあります。
- ステルス攻撃に対する脅威検知能力の向上
- 攻撃者の滞留時間の短縮
- リスク軽減の対策スピードの向上
さらに、XDRなら、AIと自動化によりセキュリティアナリストのマニュアル作業の負担を軽減できます。XDRソリューションは、高度な脅威をプロアクティブかつ迅速に検知し、セキュリティチームまたはSOCチームの生産性を向上させ、組織のROIを大幅に向上させることができます。
XDRとSIEMの違いとは?
XDRツールとSIEMツールはどちらも複数のソースからデータを収集しますが、他に共通点はほとんどありません。SIEM(パッシブEDRツールなど)には、XDRプラットフォームとは異なり、意味づけされた傾向を識別する機能がなく、自動的な脅威検知とインシデント対応の機能も提供されません。さらに、SIEMを有効活用するためには、マニュアル作業による多大な調査と分析が必要になります。
幸い、SIEMツールに投資した場合、XDRプラットフォームのデータレイクに直接フィードして、すべてのRAWデータをXDRのAIおよび機械学習機能に公開できるため、XDRプラットフォームを導入することは不必要な冗長化に繋がりません。
XDRソリューションにとって重要な機能とは?
効果的なXDRソリューションを導入するにあたり、最初の鍵となるのはシステム統合性です。豊富なAPIを備えたネイティブツールを利用して、セキュリティスタック全体でシームレスに機能させる必要があります。 2つ目は、ツールのエンジンが、すぐに利用可能なクロススタック相関分析、予防、および修復の機能提供範囲です。 3つ目は、ユーザーが脅威検知とインシデント対応のために、独自のクロススタックカスタムルールを作成できるようにして、ツールのエンジンをビルトできるようにする機能です。ボルトで固定されたような柔軟性に乏しい旧式なツールに過ぎなかったり、未熟であったり、急進的過ぎたりするようなXDRソリューションには要注意です。 企業全体の包括的なビューを簡単かつ迅速に構築できる単一のプラットフォームを提供するのがXDRです。
2番目の鍵となるのは、高度なAIと実績のある機械学習アルゴリズムに裏打ちされた自動化です。最先端のAIモデルの開発に豊富な経験と長い時間を費やしているベンダーでしょうか?それともレガシーなテクノロジーとして知られているのに、単に外向けのメッセージを変えようとしているのでしょうか?
3番目の鍵となるのは、XDRソリューションを使いこなし、メインテナンスし、更新する容易さです。強力なXDRソリューションなら、自動化された脅威検知とインシデント対応によりスタッフの生産性を向上させることができます。ただし、スタッフが行う必要のある作業を、複雑なソリューションの管理や利用という作業に単に置き換えるだけなのかどうか確認をしておく必要があります。
WhatSentinelOneの特徴であるAIを利用したXDRプラットフォームのメリットとは?
SentinelOneのAI搭載XDRプラットフォームなら、ソリューション全体に期待されているすべてのメリットをもたらすことが可能です。それは、深掘りされた可視性、自動化された脅威検知とインシデント対応、リッチなシステム統合性、そして操作の簡素化です。単一のコードベースと展開モデルを備えたSingularityは、IoTとCWPPをXDRプラットフォームに組み込んだ最初のXDRです。
すべてのIoTデータがSingularityにシームレスに統合されているため、脅威のハンティングが容易になり、これまでにないコンテキストが実現されます。AIを使用してすべてのIoTデバイスへのアクセスを監視および制御することで、Singularity XDRを使用すると、以前は大規模に対処できなかった問題をマシンレベルで解決できます。
Singularityのコンテナワークロード保護は、すべての主要なLinuxプラットフォーム、物理および仮想のクラウドネイティブワークロード、およびKubernetesコンテナをサポートしています。既知および未知のサイバー脅威の予防、脅威検知、インシデント対応、および脅威ハンティングを実現します。クラウドネイティブ環境とコンテナ化された環境全体での悪意のあるファイルとライブ攻撃も含めて、高度なインシデント対応オプションとリアルタイムの自律的な修復を実現します。
まとめ
サイバーセキュリティの攻撃者と防御者の間の鬩ぎ合いは、あたかも軍拡競争のようです。競争の土俵は、今や、エンドポイントという単一の階層を超えて拡大してきています。企業がリモートワークを拡大し、クラウドインフラストラクチャを採用してきたことで、攻撃対象領域が増加し、結果として、統合されたプラットフォームでなければ、すべての資産に必要な可視性と自動化された防御を提供できなくなりました。 XDRなら、エンドポイント、ネットワーク、およびアプリケーションのテレメトリを組み合わせることにより、脅威検知、トリアージ、およびインシデント対応を強化し、競争に勝つためのセキュリティ分析が可能になります。 SentinelOneのSingularityPlatformについて詳しくは、こちらからお問い合わせください。また無償の製品デモをお問い合わせください。