ベンダーロックインとは無縁? 新しい「XDR」の形とは
このような手間を自動化によって排除し、最新の脅威にも対応できるソリューションが「Cybereason XDR」だ。同ソリューションでは、SIEMを用いる場合に日々実施しなければならないルールの更新作業を、Cybereasonが自動で行う。データソース、ログを取得する製品との連携さえとれていれば、ルールの作り込みは不要だ。ユーザーは、自動で分析された結果を見るだけで攻撃内容が把握できる。
ユーザーによっては、CybereasonのEDR製品を用いてエンドポイントからログを収集し、同社のSOC(Security Operation Center)サービスを利用している場合もあるだろう。あるいは他のクラウドサービスやネットワーク機器などを使っており、統合SOCで網羅性のある監視を行っているかもしれない。なかにはSOCに対応していないものがあり、自社監視をしている場合もある。
これらの環境をCybereason XDRに切り替えると、各データソースのログを分析し、アラートを発信できるようになる。「CybereasonのSOCは剛速球のようなイメージで、網羅性とスピードのどちらにも強いものです。複数の製品でも1ヵ所で監視して、それらに対応するすべてのルールを自動で提供・分析します」と説明する。
アラートがあれば脅威検知を行い、攻撃の全体像は自動で可視化できる。どこから攻撃者が侵入し何が起こったのか、どこまで攻撃が進行したかが明らかになる。どの範囲で影響を受けているのかも分かるため、対応すべきことが明確化された結果、迅速な対処が可能となるのだ。
Cybereason XDRは、クラウドワークロードの監視やコンテナ、ネットワーク機器、エンドポイントを監視できる。広範囲に散らばるコンポーネントのセキュリティ運用を1ヵ所に統合することで、運用者の負担を減らし、コストの削減も期待できると青木氏は説明する。
また「Cybereason EDR」は、第三者機関である「MITRE ATT&CK Round 4」で最高評価を獲得しているソリューションだ。この情報資産を保護する強力なCybereason EDRに連動した形で動くことが、Cybereason XDRの特長の一つといえる。また、地域ごとのデータ管理として日本、EU、USの3つのデータリージョンを備えており、日本のユーザーも安心してローカルリージョンにデータを保管できるという。GDPR(General Data Protection Regulation:EU一般データ保護規則)などの法令にも柔軟に対応可能だ。
そして、ベンダーロックインのないオープンなXDRであることが最も大きな特長だ。「Cybereason XDRを利用する際に、Cybereasonの製品で統一しなければならないことはありません」と青木氏。様々なベンダーの製品と連携して分析できることも強みだと話す。その上でソリューションを販売するだけにとどまらず、サービスも提供して顧客のセキュリティ課題を解決する。自社でSOCを立ち上げたい場合には、立ち上げ支援サービスを提供することも可能だ。また侵害の痕跡を見つけたい場合には、侵害調査サービスによってトータルで支援できる。
