XDRとは何か？脅威検知、対応を変える

XDRは、セキュリティチームがより効果的に脅威を検知し、迅速な調査と対応を行うのに役立つ一連のテクノロジーである。

旧世代のセキュリティ・ソリューションとは異なり、XDRは1つのセキュリティ・サイロに限定されません。ネットワーク、エンドポイント、電子メール、IoTデバイス、サーバー、クラウド・ワークロード、アイデンティティ・システムからのデータを組み合わせます。XDRは、IT環境のあらゆるレイヤーからのデータを組み合わせ、脅威インテリジェンスでそれらを強化することで、巧妙で回避可能な脅威を検出します。

XDRの主な価値は、さまざまな脅威に対して、あらかじめパッケージ化された自動化された脅威の検出、調査、対応（TDIR）を提供することである。XDRソリューションはクラウドで提供され、分散した異種IT環境に適しています。XDRソリューションは、すぐに価値を提供し、セキュリティ・チームの生産性を向上させるターンキー・ソリューションです。

XDRセキュリティの必要性

セキュリティ・オペレーション・センター（SOC）は、高度な攻撃者を発見するために、関連するすべてのセキュリティ・データをインテリジェントに統合できるプラットフォームを必要としています。攻撃者がより洗練された戦術、技術、手順（TTP）を使用して脆弱性を悪用し、従来のセキュリティ制御を回避するため、組織はネットワーク境界の内外両方の資産を保護する必要があります。

サイバーセキュリティのスキル不足

世界的なサイバーセキュリティのスキル不足により、セキュリティチームは人手不足で過重労働に陥っている。同時に、セキュリティ環境は複雑化し、クラウドによって新たなセキュリティ上の懸念が生じ、リモートワークへの移行によって新たな課題も生じている。

バラバラのセキュリティ・スタック

セキュリティ組織は、従来のエンドポイント、モバイル、クラウドのワークロードにわたるテクノロジー資産を保護するために、統合されたプロアクティブなセキュリティ対策を必要としている。ポイント・ソリューションをさらに追加することは、実行可能なソリューションではありません。なぜなら、チームは各ツールについて学習し、認定を受ける必要があり、レビューと調査のためにさらに多くのアラートを作成することになるからです。

セキュリティ調査の複雑さ

もう一つの問題は、セキュリティ調査が複雑化していることである。多くのセキュリティ・マネジャーやリスク・マネジャーは、悪意のあるインサイダー、一匹狼の攻撃者、ハッカー組織、国家に支援された攻撃者など、悪意のある人物を積極的に探し出す脅威ハンティング手法を導入している。

ベンダーが提供するサイロ化されたセキュリティ・ツールを使用すると、データを探索して脅威を発見することが難しくなります。また、これらのツールは誤検知が多く、分析ツールやインシデント対応ツールとの統合もうまくいきません。

このような課題がXDRの開発につながった。XDRは、このようなすべての懸念に対するソリューションであり、環境全体からデータを集め、セキュリティアナリストが1つの中央インターフェイスで簡単にアクセスできるようにする、1つの統合されたソリューションを提供します。

XDRソリューションの主な機能は？

XDRは、ITエコシステム全体のセキュリティ可視化を簡素化することを目的としている。XDRは次のような機能を提供します：

統合された可視性 -XDR は、エンドポイント、ネットワーク、クラウド・インフラ、モバイル・デバイスなどの可視性を提供するため、セキュリティ・アナリストは、複数のセキュリティ・ツールを学んだり使用したりすることなく、潜在的なセキュリティ・インシデントに関するデータを得ることができます。

一元化された構成 -IT環境全体のセキュリティ設定を単一の管理プラットフォーム上で構成できるため、セキュリティチームは異なるインフラ間で一貫したセキュリティ・ポリシーを適用できる。

Embedded Advanced Analytics- XDRソリューションの必需品は行動分析です。XDRの使いやすさに不可欠なのは、通常のユーザー、グループ、およびエンティティのアクティビティをベースライン化し、逸脱があればフラグを立てる機能です。

Time to Value -XDRソリューションの主な焦点は、直ちに価値を提供し、SOCチームの負担を軽減することです。XDR は、さまざまな脅威に対して、すぐに使用でき、統合され、事前に調整された検出メカニズムを提供します。これにより、企業はサイバーセキュリティへの投資から迅速に価値を引き出すことができます。

アナリストの生産性の向上 -XDR を使用することで、セキュリティアナリストが複数のダッシュボードを切り替えてセキュリティデータを手動で集計する必要がなくなります。これにより、セキュリティ脅威をより効果的に検出し、対応できるようになります。ルールやシグネチャのみに依存するのではなく、行動分析を行うことで、アラートによる疲労を最小限に抑えながら、対応精度を効率化することができます。

総所有コスト（TCO）の削減- XDRは統合されたネットワークセキュリティプラットフォームを提供するため、内部設定、管理、ポイントソリューションの統合に関連するコストを削減できます。

アナリストの権限強化 -XDR は、組織のセキュリティインフラストラクチャ全体で共通の管理およびワークフローを提供します。これにより、トレーニング要件が軽減され、上位層のアナリストにエスカレーションすることなく、第1層のアナリストが複雑なインシデントを調査できるようになります。

XDRはセキュリティ・エコシステム全体を保護する

XDRがITエコシステムのさまざまなレイヤーをどのように保護しているかを見てみよう：

ネットワークの保護

XDRは、ネットワークのあらゆる場所で異常な動作を検出し、脅威がどのように通信しているかについての詳細な情報を明らかにすることができます。インシデントを自動的にフィルタリングし、実際の攻撃を特定するのに役立ちます。セキュリティチームは、攻撃の発生源と範囲に関するインテリジェンスを受け取ることで、より迅速に対応できるようになります。

電子メールインフラの保護

XDRは、電子メールの脅威を検出し、感染したアカウントを特定します。また、頻繁に攻撃を受けるユーザー、攻撃者に誤ってアクセス権を与えてしまうユーザー、フィッシングメールを受信するユーザーなどの攻撃パターンも検出できます。XDRは自動的にメールを隔離し、アカウントをリセットし、送信者をブロックします。重要なのは、悪意のある電子メールのアクティビティと、他のシステムで検出されたセキュリティイベントを結びつけることです。

クラウドワークロードの保護

XDRは、クラウドサーバー、コンテナ、またはその他のワークロードを標的とした脅威を検出し、脅威のアクセスポイントを特定し、ワークロードへの脅威の影響を調査し、脅威がネットワーク全体にどのように広がっているかを把握します。

XDRは、感染した資産を隔離するマイクロセグメンテーションを実装するなど、脅威を阻止するための自動化されたアクションを取ることができる。リソース間の接続ポイントが多い複雑なハイブリッドクラウドやパブリッククラウド環境では、これにより脅威を早期にキャッチし、壊滅的なデータ侵害を防ぐことができる。

オープンXDR対ネイティブXDR

XDRは新しいソリューションのカテゴリーであり、ネイティブXDRとオープンXDRと呼ばれる2つの主要なソリューションアーキテクチャが出現している。

ネイティブXDRとは？

ネイティブXDRは、データを生成するフロントエンド・ソリューションと、データ分析とワークフローのためのバックエンド機能を備えた、クローズドなセキュリティ・エコシステムを提供するソリューションである。ネイティブなXDRソリューションを提供するためには、ベンダーは、エンドポイント、ネットワーク、クラウド、アイデンティティ、電子メールなど、一般的な脅威検知のユースケースに必要なセンサーをすべて備えている必要がある。さらにベンダーは、データを自動的に組み合わせて迅速な調査を可能にするバックエンドを提供しなければならない。

ネイティブXDRベンダーは、セキュリティ・ツールの幅広いポートフォリオを持つプラットフォーム・ベンダーであり、XDRソリューションを提供するためにポートフォリオを拡大している。また、EDRベンダーは、IT環境の他の領域にソリューションセットを拡大し、アナリティクスやデータ統合などのバックエンド機能を追加している可能性もある。

オープンXDRとは？

オープンXDRソリューションは、主にバックエンドの分析とワークフローエンジンに焦点を当てています。独自のフロントエンドツールを提供する代わりに、お客様の組織の既存のセキュリティおよびITインフラストラクチャと統合し、すべての関連データを関連付け、分析します。バックエンド機能は、脅威の検知、調査、対応（TDIR）に重点を置き、TDIRワークフローを自動化、最適化することで、インシデントへの迅速な対応を可能にします。

オープンXDRベンダーは、一般的な脅威のユースケースに対応し、侵害の兆候（IoC）の特定から、アラートの優先順位付け、トリアージ、詳細な調査、標的型対応まで、TDIRライフサイクルの全段階をカバーするパッケージ化されたセキュリティ・コンテンツを提供する。

組織内のセキュリティ・スタックが複雑化する中、オープンXDRは、複数の製品やベンダーのための単一のコントロール・プレーンとして機能する。これにより、可視性が提供され、旧世代のセキュリティ・オーケストレーション＆オートメーション（SOAR）テクノロジのように、運用のオーケストレーションと自動化が可能になります。これにより、既存のセキュリティ投資を活用しながら、SOCチームの生産性を向上させ、面倒な手作業のワークフローを排除することができます。

脅威検知、調査および対応（TDIR）を詳しく見る

組織は、巧妙な敵の一歩先を行くために、セキュリティ・ツールに大規模な投資を行っている。セキュリティ・ツールは洗練された機能を提供するが、その機能は通常、SOCが脅威を検知し対応するためのプロセスとは一致していない。

私たちが脅威の検知、調査、対応（TDIR）プロセスと呼ぶこのプロセスには、通常、以下のステップが含まれる：

1. 準備とデータ収集 
2. イベント発生時の検知​
3. アラートがエスカレーションされた場合のトリアージと割り当て
4. 初動対応
5. 綿密な診断と調査
6. 最終対応と事故処理
7. 死亡事故後の根本原因分析（過去の事故からの教訓を生かす）

多くの SOC では、上記のプロセスが十分に定義されていないか、一貫性がない。また、脅威の種類によって、これらの手順が大幅に異なる可能性があることを認識することも重要である。その結果、アナリストによって同じ脅威を調査し対応するためのアプローチが異なるため、ギャップが生じ、労力が無駄になり、セキュリティ態勢が不十分となることが多い。

SIEMのようなセキュリティ・ツールはどこに位置づけられるのか？

SOCが使用するセキュリティ・ツールは、従来のセキュリティ・情報・イベント管理（SIEM）システムのように、TDIRプロセスをサポートし、最適化することを目的としている。しかし、これらのツールは、特定の脅威カテゴリに対する成果よりも、むしろ複雑な機能とカスタマイズのために設計されています。

つまり、セキュリティ・チームは、組織が直面する特定の脅威に対する実装とカスタマイズに大きな労力を費やさなければならない。多くの場合、セキュリティ・プロジェクトは、重要な脅威に対するカバレッジを測定可能なほど向上させることなく、価値実現までの時間の長期的な遅れに悩まされる。

成熟したカテゴリーとして、SIEMは必然的に「スコープクリープ」の影響を受けてきた。現在、SIEM が提供するソリューションは、当初の機能とは大きく異なっている。コンプライアンス・レポーティングやSOARのような分野は、SIEMの有用性を高めたが、SIEMの導入と管理の複雑さも増大させた。

セキュリティ・ツールをTDIRプロセスに合わせる

最新のセキュリティ・ツール、特に XDR ソリューションは、TDIR プロセスと連携してこそ効果を発揮する。先進的なプラットフォームは、エンドツーエンドのワークフローを提供し、特定の脅威カテゴリに対するTDIRプロセス全体を自動化できるようにします。これにより、企業は運用効率を高め、Time-to-Value（価値実現までの時間）を短縮し、長期にわたってセキュリティ態勢を改善することができます。

脅威のユースケース：XDR活用の鍵

従来、企業は、TDIR プロセスのさまざまな段階を自動化できるセキュリティ・ツールを導入してきた。例えば、ある種のツールは、データ準備の支援、脅威検出の改善、対応の自動化を可能にした。

しかし、これらのツールは一度にすべてのタイプの脅威をターゲットにしようとしていた。すべての脅威が同じように作られているわけではない。それぞれの脅威には、異なるエンティティ、異なる優先順位、異なるタイプのデータ、異なる検出方法、そして効果的な対応に必要な異なる人材、プロセス、ツールが関係している可能性がある。

このため、左から右へのアプローチでプロセスを最適化しようとしたSOCは、これが面倒で、専門的なツールと大規模なカスタマイズが必要で、しばしば効果がないことに気づいた。労力を費やしても、自動化されたツールではすべての脅威タイプに対応することはできなかった。

新しいアプローチ：脅威のユースケースに焦点を当てる

より効果的なアプローチは、脅威の種類を特定し、インシデントレスポンス・サイクル全体にわたって、脅威カテゴリごとに最適化と自動化を適用することである。SOCは、単純だが一般的なユースケースから始めて、より複雑な脅威に移行することができる。最適化プロセスは次のようになる：

1. フィッシング攻撃への最適化 → 上記ステップ1～7への対応
2. マルウェア攻撃への最適化 → 上記ステップ1～7に対応
3. インジェクション攻撃に対する最適化 → 上記ステップ1～7に対応
4. 特権昇格の最適化 → 上記ステップ1～7に対応
5. など

ベンダーはケース・ベース最適化をどのようにサポートするか

TDIRプロセスの自動化を促進するために、ベンダーによっては、特定の脅威を検出して対応するための規定的なガイドラインやワークフローを提供している。このため、ベンダーは脅威のカテゴリーごとに結果を出せるように製品を調整する必要がある。

セキュリティ対策ツールのユーザは、ベンダが提供する「レゴブロック」を使って、検知、分類、調査、対応のプロセスを構築することを強制されるべきではない。その代わりに、ベンダは、脅威の分類に特化した TDIR プロセス全体を扱う、ユースケースごとにパッケージ化されたコンテンツを提供しなければならない。このパッケージ化されたコンテンツには、セキュリティチームが特定のタイプの脅威に対処し、脅威の緩和を繰り返し成功させるために必要なものがすべて含まれていなければならない。

XDRソリューションの使用例

XDR は、このようなユースケースの最適化をサポートし、脅威セキュリティ運用のワークフロー全体を包含するクローズドループ型のソリューションを提供する必要があります。SOC アナリストの専門知識レベルに関係なく、XDR は最小限の設定しか必要としないターンキー・ソリューションである必要があります。

SOCアナリストは、特定のシナリオをサポートするために微調整する必要がなく、最初から最後までXDRを使用できる必要があります。XDRは、TDIRプロセス全体をカバーするプリパッケージされたコンテンツによって、関連する各脅威のユースケースに完全に対応する必要があります。この機能がなければ、XDRはその価値提案を完全に実行することはできない。

XDRプラットフォームの選び方

市販のXDRプラットフォームは、一般的に似たようなアーキテクチャを持ち、似たようなプロセスを使用しますが、ソリューションを選択する際に考慮すべき重要な違いがある場合もあります。例えば、エンドポイントデータを重視するプラットフォームもあれば、ネットワークデータを優先するプラットフォームもあります。

あなたの組織に適したXDRプラットフォームを選択するには、以下の質問を考慮する必要があります：

• ユーザーの地理的分布は？
• 貴社のサーバー、データ、アプリケーションはどこに置かれていますか？クラウドとオンプレミスのどちらのデータセンターに依存していますか？
• 公衆インターネットのような信頼されていないネットワークを横断しなければならない機密データをお持ちですか？
• 脅威ハンティングと脅威インテリジェンスの担当者は誰か？XDRプロバイダーはプロアクティブなアプローチを取っていますか？
• プラットフォームはどのようなAI機能を提供するのか？
• スケーラブルなデータ収集、行動分析、自動化、修復を提供するソリューション・ベンダーの経験レベルは？
• クローズド XDR またはオープンXDRアプローチは、既存の環境および/または購買戦略に合致していますか？

企業レベルの XDR プラットフォームは通常、新たな脅威を特定できる独自の脅威検出チームを擁している。これらのチームは脅威インテリジェンスを収集し、自動化されたセキュリティポリシーに反映させ、セキュリティツールに組み込みます。脅威検出チームは、脅威を迅速に検出し、脅威を軽減するための適切なポリシーを作成できなければなりません。

統合されたさまざまなAI機能は、脅威の検出、誤検知の最小化、脅威の根本原因の分析、修復のための洞察の獲得に重点を置くことができる。優先順位にもよるが、これらの機能は、脅威の調査や対応にかかる時間を短縮するのに役立つ。

Exabeam Fusion XDR

クラウド型ソリューションであるフュージョンXDRは、結果ベースのアプローチを採用し、脅威の検知、調査、対応（TDIR）を効率的に行うための処方的なワークフローと、あらかじめパッケージ化された脅威に特化したコンテンツを提供します。何百ものサードパーティセキュリティツールとの事前構築済みの統合と、市場をリードする当社の行動分析が、複数の製品からの弱いシグナルと通常の動作の理解を組み合わせ、他のツールでは見過ごされる複雑な脅威を発見します。特定の脅威タイプに特化した所定のワークフローと事前パッケージ化されたコンテンツにより、SOCはTDIRをより成功させることができます。トリアージ、調査、対応活動を単一の集中制御プレーンで自動化することで、アナリストの生産性を飛躍的に高め、対応時間を短縮します。