失敗しないXDR導入: 導入時の検討事項は大きく2つに分けて考えよう

Jan 15, 2023
1 minutes
... views

はじめに

最近、EDR(Endpoint Detection & Response)やNDR(Network Detection & Response)の拡張としてXDRが注目されています。ですが、XDRはDetection&Responseの拡張という位置づけにはとどまりません。サイバー・セキュリティ・メッシュ(CSM)につながる考え方を持っているということこそが注目を集める重要ポイントといえるでしょう。

そこで今月は「実際にXDRを導入する上で検討すべき事項が何か」を「構成をどうしたいか」「相関分析に何を求めるか」の大きく2点にわけて考えてみましょう。

1. XDRの構成をどうしたいか

XDRには「異なるセキュリティレイヤの情報を収集し迅速に相関分析を行い、早期に脅威を見つける」というしくみが必要です。

そうしたXDRの導入モデルには大きくわけて次の2つの構成があります。

XDR導入モデル。構成1と構成2を比較。構成1はEDRやNDR導入後にXDRへと拡張する。構成2は相関分析を1つのレイヤで行うのでデザインがシンプルなのが利点。ただしXDRと親和性の高い製品を選ぶ必要がある。
XDR導入モデル

構成1は、EDRやNDRといった個別のDetection&Response製品に、全体を相関分析するための相関分析レイヤを追加する構成です。

構成2は、EDRやNDRといった個別のDetection&Responseではなく、最初から複数のセキュリティレイヤの相関分析を包括的に行うことを考慮した構成です。弊社のCortex XDRはこの構成2に該当します。

構成1ではEDRやNDRを導入後にXDRへと拡張していくことになります。環境内の既存製品を活かして拡張できるのが利点です。ただし、構成2に比べるとレイヤが1つ多くなるため構成が複雑になりがちで、機能の重複が発生しやすく、拡張の自由度に乏しいことが難点です。自由度が下がってしまう理由は、XDRは相関分析システムなので選択したEDRやNDRと親和性の高い製品やサービスを選択する必要があり、最初に選定したEDR製品などの影響を受けやすいからです。

構成2では相関分析を1つのレイヤで行うのでデザインがシンプルなのが利点です。ただしこちらも情報ソースとなるエンドポイントやネットワーク機器の自由度には限りがあり、やはりXDRと親和性の高い製品を選択する必要があります。

いずれの構成を選ぶにせよ、最初に選択した製品(しくみ)が全体の構成に影響しやすいことは間違いありません。最初の製品を導入する時点から、XDRを意識したシステムを構築するようにしましょう。

2. 全体の相関分析(XDR)に何を求めるか

次に全体の相関分析レイヤであるXDRにどんな要件を求めるかを考えましょう。ここでは代表的要件としてとくに以下の3つを取り上げたいと思います。

  1. 分析速度は十分速いか
  2. 高度な脅威を検出可能な知見が得られるか
  3. 得られるのはインフォメーションかインテリジェンスか

分析速度は十分速いか

今日のサイバー攻撃の特徴は、膨大な攻撃数、短い攻撃サイクル、洗練された攻撃です。

つまり、明確にサイバー攻撃だと判断しづらい膨大な数のアラートを短時間で処理する必要があります。従来のヒトに依存する対処方法は、分析結果が出るまでの時間の長期化、分析にかかる負荷、人材不足が大きな課題になります。この問題を解決する方法としてAIの導入が強く求められており、XDRの必須機能になっています。

高度な脅威を検出可能な知見が得られるか

攻撃の洗練度が上がるにつれ、より広範なソースからの情報収集と分析が求められます。しかも、異なるセキュリティレイヤをまたぐ相関分析を行うには、特定のセキュリティレイヤだけでなく、セキュリティレイヤ全体を俯瞰した上での知見も必要になります。互いに親和性に乏しいセキュリティ製品が多数入り乱れている環境だとこうしたレイヤをまたぐ相関分析を実現しづらいのが実情です。各セキュリティレイヤからの知見をどれほど取り込めるのかを確認する必要があります。

得られるのはインフォメーションかインテリジェンスか

Detection&Responseだけでは攻撃を止めることはできないので、分析の結果にもとづいて意思決定を行わなければなりません。意思決定を行うには、単にアラートを集約しただけの「インフォメーション」ではなく質の高い「インテリジェンス」が必要になります。下図でいえば、右端の「TACTIC」と「TECHNIQUE」の2つのレベルの情報だけがインテリジェンスとして意思決定に使えるものです。

検出の質を表す指標。ATT&CK Evaluationは攻撃グループの攻撃ステップそれぞれにおいて、どのように検出したのかの質を示す。NONE (なし)、TELEMETRY(テレメトリ)、GENERAL(一般)、TACTIC(戦略)、TECHNIQUE(技術)の順に質が高くなっていくことがわかる
検出の質を表す指標

以上3つの要件を重要視するのであれば、異なるセキュリティレイヤの知見とAIを用いて迅速に相関分析を行い、インテリジェンスとして情報を整理できるXDRを検討するとよいでしょう。

さいごに: 弊社のXDRへの取組み

弊社はXDRの重要性に早くから注目し、製品開発に取り組んできました。

ここではとくに上記2点目で触れた3つの要件を弊社のXDR製品、Cortex XDRがどう満たしているかをご紹介します。

AIによる高速分析

Cortex XDRはAIを活用した迅速な解析を実現しています。AIの精度を上げるには学習対象となる情報、知見、学習環境がかかせませんが、弊社は日々ネットワーク、エンドポイント、クラウドで発生する膨大な情報を収集し、AIの学習に活かしています。

高度な脅威も検出可能な知見を提供するセキュリティプラットフォームとしての製品群

弊社はセキュリティプラットフォームを実現する一連の製品群を提供しています。そのなかには、ネットワーク製品、エンドポイント製品、クラウドサービスなど、各セキュリティレイヤの製品が幅広く含まれています。これにより、弊社はセキュリティレイヤ全体を俯瞰した上での知見を実現しています。シングルベンダでどのセキュリティレイヤにも互いに親和性の高い製品を提供できること、これがXDRを最適化する強みとなっています。

得られるのは高度に集約されたインテリジェンス

せっかくEDR製品を導入しても、多数のアラートを出すだけでコンテキストが欠けていれば、それが過検知なのか、その脅威は今攻撃チェーンのどの段階にあるのか、攻撃者がどのようなグループなのかなどを判断することができません。結果、対応が後手に回ったり、具体的なアクションを取れない事態に陥りかねません。

検出した情報の「質」をいかに高めるか。これが実際に運用を回していけるかどうかを左右します。

Cortex XDRは、検出された「情報」の質を高め、上図右端の「TACTIC」「TECHNIQUE」のレベルにまで整理し、意思決定に必要なコンテキストを提供します。

AIを利用して異なるセキュリティレイヤの膨大なアラート処理を迅速に行い、相関分析でインテリジェンスを導き出すCortex XDRをぜひ試用してください。

 


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.