XDRはディテクション・アンド・レスポンスのハードルを下げる
"eXtended Detection and Response"を直訳すると、「拡張された検知と対応」となる。一般的にXDRは「複数のセキュリティ防止、検出、対応コンポーネントからのデータとアラートを統合、関連付け、コンテキスト化するプラットフォーム」と捉えられている。また、マクニカでは「さまざまなセンサーからの情報を横断的に分析することで、可視性と検知を向上させ組織、企業を守る」としている。
[画像クリックで拡大]
XDRは単体のセキュリティ技術ではなく、既存のさまざまなセキュリティ技術を組み合わせた考え方だ。その中では、EDR(Endpoint Detection and Response)が大きな存在であり、これを中心として構成される。その周囲には、NDR(Network Detection and Response)、SASE(Secure Access Service Edge)、ITDR(ID Threat Detection and Response)、SIEM(Security Information and Event Management)、UEBA(User and Entity Behavior Analytics)など、さまざまなセキュリティソリューションがあり、運用にはMDR(Managed Detection and Response)も入ってくるという。
マクニカでは、こうしたXDRの構成要素を下図のように“3階層”で表している。
[画像クリックで拡大]
一番下にデータソースがあり、EDRやNDR、SASEなどからアラートやログを収集・集約。センサー以外に、IDaaSや脆弱性管理のシステムなどから取得できるログも活用する。2層目の“データストア・エンジン”では、情報をデータレイクに蓄積し、正規化、相関する。さらにSearch & Huntingでログやアラートの中身を分析し、得られたインテリジェンスを用いて検知。そして、3層目にあたるユーザーインタフェース層がコンソールやダッシュボードにあたり、可視化して具体的なアクションに移していく。
旧来のセキュリティ対策では、ディテクション(検知)し、それをブロックすることが主流だった。しかし現在では、あくまでも検知はきっかけに過ぎず、そこから“どのようにレスポンスをするか”が重要視されている。そして、レスポンスのためには、攻撃手法とその対策のトレンドを抑える必要があるのだ。
たとえば1990年代から2000年代までは、DoSやウイルスをばらまく攻撃が多く、愉快犯が中心だった。ところが、2010年代から様相が変わり、パターンマッチングでは検知できない未知のウイルスが大量に出現すると「標的型攻撃」に潮流が変化。C2通信やドライブバイダウンロードといった手法が登場し、ラテラルムーブメント(Lateral Movement:組織内における感染の水平展開)により、一度侵入されると組織内に被害がどんどん広がっていった。加えて、OSコマンドを利用したフィッシング、ランサムウェアも大きな脅威となっている。外部公開済みのVPNやWebサーバー、アプリケーションサーバーなどの脆弱性を狙うような高度化した攻撃も目立つ。
特に最近の攻撃は、「目的を達成するために入念な準備と能力を整え、組織化された“見えない攻撃”に変化しています」と笠井氏は指摘。脅威が高度化したことで検知できない部分が残るために、XDRではそれらすべての見える化を目指す。
セキュリティサービス事業部技術部 部長 笠井大騎氏
XDRの“DR”にあたる「ディテクション・アンド・レスポンス」から見てみよう。たとえば端末でEDRが不審なプロセスの振る舞いを検知すると、アラート内容からどのような攻撃かを判断し、被害内容を確認。端末の利用者や業務内容を把握した上で、端末や利用者のアクセス権限などから業務情報への影響を把握できる。必要であれば、初動対策としてネットワークを遮断して隔離することが可能だ。
また、ここで終わらずにActive Directoryの認証ログ、盗まれた可能性のあるアカウントの履歴などを参照することで、いつ侵入されたのかを明らかにできる。さらに、情報漏えいしていないかを確認するためにファイルサーバーのログを確認。これら調査分析をすることで、ようやく原因の整理と恒久的な対策に進むことができる。こうした一連の流れが重要だとして、「初動対策で終わらないことがポイントです」と笠井氏は説明する。
もちろん、実現に向けては、適切な製品選定と導入、脅威や脆弱性に対する知識、アラートやログを分析するスキル、さらに深夜でも対応可能な体制などが必要だ。その分だけコストが発生するなど、ディテクション・アンド・レスポンスを理解すればするほど、その大変さがわかると笠井氏。結果として対策に踏み出せず、セキュリティ成熟度をなかなか上げられない。これが組織の典型的な現状だと警鐘を鳴らす。そのような状況だからこそ、ディテクション・アンド・レスポンスのハードルを下げてくれる、XDRに注目が集まっているのだ。
