SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2022レポート(AD)

4つの現状課題からXDRの「理想と現実のギャップ」を埋める鍵を探る 活用事例から見た“有効性”とは

「学習と適応」「ネイティブかつオープン」「専門家と組み込み」

 サイバー攻撃は年々高度化し、侵害が減ることはなく、むしろ長期間潜伏する脅威も散見されている。いまやXDRは「あればいい」から「必須」という状況だ。本稿ではXDRの定義から確認し、実際の脅威事例も交えつつTrellix XDR Platformを解説する。

XDRは「データ集約」「相関分析」「対応」の自動化を実現するフレームワーク

 2020年12月に発覚した、SolarWindsを通じたサプライチェーン攻撃は世界を震撼させた。当時FireEyeに所属しており、Trellix 技術本部 エンタープライズ事業部/パートナー事業部 技術本部長代理を務める清水雅史氏は「攻撃を受けた側の人間なので強く印象に残っています。最初はVPNの不審なログから攻撃を検知でき、調査をしてみるとRed Teamツールの一部が窃取されたことを確認できました。インシデントレスポンスのリーダーであるMandiantがやられたなんて……と衝撃的でした」と語る。

 後の調査で、この攻撃は長期にわたり世界中に潜伏していたもので、多くの企業や政府機関が侵害に気づいていない状態だった。ここで検知できていなければ、今も潜伏は続いていたかもしれない。

 このSolorWindsに関するインシデントの検知につながった大きな要因は、VPNと関連ログだった。そのため「各種ログを注意深く分析することで多面的に脅威動向を把握し、リスクを最小化するための防御態勢を構築する必要があります」と清水氏は強調する。

 しかし現実に目をやるとアラートの量は年々倍増し、対応が追いつかずアラートを無視する様子も見られる。しかし、それは侵害を見過ごすことにもなりかねない。セキュリティ運用担当者へのアンケートでは、セキュリティ製品の課題として「複雑さとコスト」「統合性のなさ」「メンテナンス」などが上位に挙げられている。また、セキュリティ検知や対処など運用の課題では「高度な攻撃検知の改善」「自動復旧の導入」「対応時間の改善」が同じく上位にある。

 そして近年では、これまで述べてきた課題に有効な対策として「XDR(Extended Detection and Response)」が注目されている。ただし、XDRは単一の製品ではなくフレームワークを指すため、人により捉え方が異なる。まずはXDRの定義から確認しよう。

 XDRは名前が示すように検知と対応を多方面に拡張した(Extended)もの。複数の攻撃に対応するため、単一の製品でカバーできるものではない。複数のデータソースを集約することから始め、相関分析を行い、優先順位を付けることで“対応の自動化”を実現することが要件となる。

 それでは次のような運用はXDRと言えるだろうか。

  • SIEMを使用している
  • ログはネットワーク、エンドポイント、メールから取り込んでいる
  • 相関ルールを定義している
  • チケット管理システムで対応している

 実は、上記については要件を満たしているため「XDRに該当する」と清水氏は語る。

 ガートナーが出しているガイドによるとXDRは、「オンプレミスとクラウドの垣根なく、部分最適化された複数のシステムを統合する必要があります」と清水氏は説明する。他にも、集めたテレメトリデータに脅威インテリジェンスをマッチングさせ、リアクティブではなく“プロアクティブな検知”を実現し、対応時間を短縮するための自動化や効率化も含む必要があるという。

XDRによりセキュリティ運用があるべき姿に
XDRによりセキュリティ運用があるべき姿に
[画像クリックで拡大]

次のページ
現状課題を「統合性・検知・分析・自動化」から見る

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2022レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16734 2023/02/08 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング