現状課題を「統合性・検知・分析・自動化」から見る
現実のXDRはあるべき姿をどこまで実現できているだろうか。次の4つの観点から、現状と課題を見てみよう。
1. 複数システムの統合
XDRでは多種多様な攻撃に対応できるように、複数のシステムを統合する必要がある。子会社やグループ会社をもつ場合には、組織横断的に一元管理できるような対応も求められる。そのためには、全体を統合できる基盤(プラットフォーム)を導入することや、各種テレメトリデータを「正規化」していく必要がある。
しかし現実的には、製品が多数あることから一元管理は難しく、データの正規化も追いついていない。統合には工数も人材も要る。そこで特定のベンダー製品で固めるという割り切りもあるが、ベンダー依存が強くなり他社製品が選択できないなどの制約が生まれてしまう。
2. 脅威の検知
検知ルールは常にアップデートしていく必要があるため、収集したテレメトリから検知ルールを自動作成できることや、必要に応じて独自ルールを追加できる必要がある。そこで「SIEM(Security Information and Event Management)」活用に舵を切るが、SIEM自体の検知ルールや相関ルールが導入当初のままでルールが陳腐化していることも少なくない。うまく機能しないことを避けるためにも、更新を続ける必要があるのだ。
3. 分析
収集したデータを分析するのなら、アラート単位で分析するのでは不十分だと言う。アラートと相関した結果を基に優先順位をつけ、対応に必要な情報を自動的に出力する必要がある。
4. 対応の自動化
セキュリティ運用担当者のワークロードを減らすために、事前に定義できるワークフローは可能な限り自動化しておく必要がある。しかし、処理自動化の作り込みについてもシステム統合と同様に、工数や人材の壁がある。
清水氏は「XDRを実現するためにはこうした観点を考慮し、最小限の工数で課題解決することを念頭におきましょう」とアドバイスする。XDRの理想と現実とのギャップを埋めるためのポイントとなるのが「学習と適応」「ネイティブかつオープン」「専門家と組み込み」の3つ。
「学習と適応」とは、AIや機械学習を用いること。常に学習を続け、柔軟に適応していくことで次々と変化する脅威に動的に対応し、プロアクティブに検知できるようになる。「ネイティブかつオープン」とは、幅広い製品群の機能そのもの(ネイティブ)をオープンAPIでつなげることでシームレスな統合を実現できる。また、「専門家と組み込み」とは、専門家が分析した検知ルール、推奨プラン、自動化アクションを製品に組み込むことで、人材不足にも対応することだという。
こうしたことを実現しようとしているのが「Trellix XDR Platform」だ。なお、“Trellix”という新しいブランド名には「セキュリティに命を吹き込む」という意味が込められている。
Trellix XDR Platformは、旧FireEyeと旧McAfee Enterpriseが統合したことで網羅性が広がり、さらにオープンAPIを通じて650以上のセキュリティ機器を統合できるようになっている。10億以上のセンサーから収集したデータを基に、AIや機械学習で研さんを重ねることで検知能力を常に高めているという。統合により両社の脅威ラボにいる専門家も1つのチームとなったため、製品に組み込まれている専門家の知見はより厚みを増した。
