複数のセキュリティ製品がサイロ化し、その隙間が狙われている
SecureworksがTaegisを開発したきっかけは、5年前にさかのぼる。顧客にヒアリングを繰り返しているうちに、さまざまなセキュリティソリューションから出力されるデータがあまりにも多く、それがノイズとなってしまっているという声を聞くようになったという。
また、今までの製品は“ポイントプロダクト”のようなものであり、結果として製品自体がサイロ化を引き起こしてしまっているケースも散見された。つまり、サイロ間にセキュリティホールとも言うべき『隙間』ができてしまい、そこがネットワークの侵入口として攻撃者に狙われている。
「そうした状況を鑑みて、セキュリティアナリティクスを目的とした専用のプラットフォームが必要だと考えました。それは、これまでの考え方とは異なるまったく新しいタイプの製品であり、“セキュリティファースト”という設計思想の下で包括的なアプローチが必要でした。そして何よりも重要なのは、従来のような複数の『点の製品(ポイントプロダクト)』を統合し、つなぐだけでは十分ではないことに思い至ったということです」(スティーブ氏)
たとえば、多くの企業がSIEM(Security Information and Event Management)を導入しているが、本を正せばセキュリティを専門用途として設計された製品ではない。セキュリティ対策に利用してみたら有用だったため普及しているが、そもそもセキュリティファーストの設計思考がないため、根本的な抜け道を攻撃者に突かれてしまっているという。そこで、そうしたポイントプロダクトを包含して保護できるような製品開発に着手したとスティーブ氏は振り返る。
「TDR」として開発、時代が追いつき「XDR」に
スティーブ氏は、セキュリティを第一とした新製品の開発にあたり、問題を解決するためのスピード、セキュリティ課題に対する有効性、対応の自動化、他社製品と統合したオーケストレーションが可能であることを最低条件として据えた。また、ユーザーが見やすくわかりやすいレポートを瞬時にあげることができることなどを考慮したときに、これらを実現できるのは“XDR”であるという結論に至ったという。これが日本市場に新規投入した「Taegis XDR」である。
スティーブ氏は、「多くのベンダーが『XDR』を冠した製品を販売していますが、それらは『真のXDR』ではありません。以前からあった古い製品に、XDRという新しいラベルを貼って市場に再投入しています。彼らは、市場トレンドにどこまでも追随していくだけではないでしょうか」と指摘した。
Secureworksといえば「MDR」の印象が強い人が多いかもしれない。今回の新製品開発においても、同領域で20年以上研鑽してきた経験に基づき、一から作りあげたと自信を見せる。実は、今でこそ「Taegis XDR」と名付けて市場投入されているが、すべての脅威を見つけ出して対応するという意味で「TDR(Threat Detection and Response)」としていたとスティーブ氏は明かす。その後、XDRのコンセプトが登場したことで、より適切なXDRに名称を変更している。独自のビジョンを描いて、設計、構築して新たなアーキテクチャを作ったというわけだ。
同製品における特徴の一つは、検知能力の幅広さと深さ。Taegisには、マシンラーニングや振る舞い検知、ルール定義による検知など数千のディテクターを活用。これにより、未知の脅威も検知できる。さらに、MITRE ATT&CKのフレームワークに基づいて、検知した攻撃内容をマッピングすることも可能だという。
もう一つの特徴は、“オープン性”を重視したプラットフォームであること。他社ベンダーでは、上から下まで同じベンダー製品によるセキュリティスタックを顧客に強要するきらいがある。「既存の投資を十分に生かせるよう、今あるツールはそのまま使用いただきながら、各製品からあがってくるデータの送り先をTaegisにするだけです。幅広いソースからすべてのデータを取り込むことで、他社製品だけでは捉えられなかった侵入も検知できるようになります。また、検知後の対応についても自動化をどんどん進めています」とスティーブ氏。拡張性を重視してプラットフォームを構築したことで、さまざまな統合を進めていくことが容易だという。
また、Secureworksのセキュリティアナリストをはじめ、パートナー企業などもユーザーと同一の情報を閲覧できるため、一貫した形で連携して対応にあたれる点も他社製品との違いだとする。
同社が得意とするリスクアナリティクスはもちろん、侵入検知後にホスト隔離する機能、End to Endでの統合されたワークフロー、サードパーティシステムから発行されるチケットなどを、すべて同一のプラットフォームに統合。これにより、使い始めたその日からプレイブックやコネクタなど、ユーザーごとにカスタマイズされたXDRを利用できるという。
