XDRは「データ集約」「相関分析」「対応」の自動化を実現するフレームワーク
2020年12月に発覚した、SolarWindsを通じたサプライチェーン攻撃は世界を震撼させた。当時FireEyeに所属しており、Trellix 技術本部 エンタープライズ事業部/パートナー事業部 技術本部長代理を務める清水雅史氏は「攻撃を受けた側の人間なので強く印象に残っています。最初はVPNの不審なログから攻撃を検知でき、調査をしてみるとRed Teamツールの一部が窃取されたことを確認できました。インシデントレスポンスのリーダーであるMandiantがやられたなんて……と衝撃的でした」と語る。
後の調査で、この攻撃は長期にわたり世界中に潜伏していたもので、多くの企業や政府機関が侵害に気づいていない状態だった。ここで検知できていなければ、今も潜伏は続いていたかもしれない。
このSolorWindsに関するインシデントの検知につながった大きな要因は、VPNと関連ログだった。そのため「各種ログを注意深く分析することで多面的に脅威動向を把握し、リスクを最小化するための防御態勢を構築する必要があります」と清水氏は強調する。
しかし現実に目をやるとアラートの量は年々倍増し、対応が追いつかずアラートを無視する様子も見られる。しかし、それは侵害を見過ごすことにもなりかねない。セキュリティ運用担当者へのアンケートでは、セキュリティ製品の課題として「複雑さとコスト」「統合性のなさ」「メンテナンス」などが上位に挙げられている。また、セキュリティ検知や対処など運用の課題では「高度な攻撃検知の改善」「自動復旧の導入」「対応時間の改善」が同じく上位にある。
そして近年では、これまで述べてきた課題に有効な対策として「XDR(Extended Detection and Response)」が注目されている。ただし、XDRは単一の製品ではなくフレームワークを指すため、人により捉え方が異なる。まずはXDRの定義から確認しよう。
XDRは名前が示すように検知と対応を多方面に拡張した(Extended)もの。複数の攻撃に対応するため、単一の製品でカバーできるものではない。複数のデータソースを集約することから始め、相関分析を行い、優先順位を付けることで“対応の自動化”を実現することが要件となる。
それでは次のような運用はXDRと言えるだろうか。
- SIEMを使用している
- ログはネットワーク、エンドポイント、メールから取り込んでいる
- 相関ルールを定義している
- チケット管理システムで対応している
実は、上記については要件を満たしているため「XDRに該当する」と清水氏は語る。
ガートナーが出しているガイドによるとXDRは、「オンプレミスとクラウドの垣根なく、部分最適化された複数のシステムを統合する必要があります」と清水氏は説明する。他にも、集めたテレメトリデータに脅威インテリジェンスをマッチングさせ、リアクティブではなく“プロアクティブな検知”を実現し、対応時間を短縮するための自動化や効率化も含む必要があるという。
[画像クリックで拡大]
