サイバー攻撃の高度化・多様化に伴い、ランサムウェア攻撃などによる被害が頻発している。こうした事態を受け、企業・組織では従来にも増して高度な対策を余儀なくされている。この記事では、外部攻撃による兆候の検知・対処を横断的に担うXDRについて、その概要と機能、導入時の注意点について解説する。
ゼロトラスト時代のセキュリティ対策
DX(デジタルトランスフォーメーション)という言葉を耳にすることが増えている昨今、デジタル技術の浸透によって、企業・組織におけるアタックサーフェスは拡大傾向にある。こうした時代の潮流はいわば不可逆的なものであり、企業・組織では今後もデジタル活用を前提としたセキュリティ対策が常態的に求められる。
このような環境変化に応じて、広がってきているセキュリティ概念がゼロトラストセキュリティだ。ゼロトラストとは「すべての通信を信頼しない」という前提の元にセキュリティ対策を講じる考え方だ。具体的には、以下のような要件を満たすことで、より強固なセキュリティ対策を実現する。
常時認証
ゼロトラストとは「すべての通信を信頼しない」という考えに基づく。そのため、一度認証した後であっても、新たにアクセスするリソースやアプリにおいて、その都度認証を行うことで安全性を担保する。
権限管理
ユーザーの役割や職域に応じた適切な権限を割り振ることで、必要以上の権限を付与しない「最小権限の原則」を遵守する。内部不正を抑止する効果も期待できるだけでなく、万一外部からの侵入を許した場合であっても、ラテラルムーブメント(水平展開)による被害拡大を未然に防ぐ。
常時監視・対処
ゼロトラストでは従来型の境界型防御とは考えがまったく異なり、ネットワークの内外を定めず、通信の常時監視を通じて不正な動きを検知・対処することになる。マルウェア開発サイクルの高速化や高度化により、ますます検知・対処も難しくなっている。そのため、常時監視することで不正な動きを検知次第、速やかに対処することが求められている。
これら「常時認証」、「権限管理」、「常時監視・対処」といった要件を満たすためのソリューションとして、以下のようなものが挙げられる。
IAM(またはIDaaS)
IAM(Identity and Access Management)は社内システムやクラウドサービスに紐づく複数のアカウントを統合することで、適切なアカウント管理を実現するソリューションだ。最近ではIDaaS(Identify as a Service)との名称でクラウドサービスとして提供されることも多い。認証に関する機能を一体的に利用できるため、アカウント管理における利便性と安全性を両立したソリューションだ。
ZTNA(Zero Trust Network Access)
近年、VPNに代わるリモートアクセスの手法として注目を集めているのがZTNAだ。ゼロトラストの概念に基づき、クラウドベースのサービスとしてセキュアな通信機能を提供する。クラウド前提でのサービスとなるため、複雑なネットワーク設定なども不要で、拡張性や柔軟性を維持しつつ安全性を担保した通信を実現できる。
SIEM(Security Information and Event Management)
従来のログ管理ソリューションから発展したものであり、セキュリティに関するハードウェア、ソフトウェアからログを収集して集中管理し、相関分析によって、単一のログでは検出できない脅威や攻撃の兆候を見つけ出すことを可能とする。外部からの攻撃だけでなく、内部不正の事前検知といったコンプライアンス対策、セキュリティポリシーの監査としても活用できる。
EDR、NDR、XDR
これらのソリューションはいずれも「検知と対処」に重点を置いたソリューションであり、それぞれの監視・対処の範囲に応じた名称となっている。例えば、EDR(Endpoint Detection and Response)ではエンドポイントに重点を置いて監視・対処を行う。NDR(Network Detection and Response)では同様に、ネットワークを、そして、XDR(Extended Detection and Response)ではエンドポイント、ネットワークを横断的に監視・対処するという特長がある。いずれにおいても、迅速かつ自動的に検知・対処が行われることから、不正な動作を初期段階で鎮静化することが可能だ。
これらの複数のソリューションを組み合わせて導入・運用していくことでゼロトラストを実現していくことになる。その中でも、インシデントの兆候を絶えず監視し、発生時に対処する役割を担うのがXDRだ。
XDRの特長と導入メリットとは
EDR、NDR、XDRなどのソリューション名称の一部ともなっている「DR(Detection and Response)」とは、直訳すれば「検知と対処」となる。すなわち、インシデントの兆候を検知して対処するためのソリューションであり、先述のとおり、それぞれ対処範囲が異なっている。EDRではエンドポイントを監視することで、端末の異常を検知して対処する。NDRではその監視範囲がネットワークとなる。
そして、監視範囲を拡張して、エンドポイントもネットワークも監視・対処するのがXDRだ。XDRのXとは「Extended(拡張された)」の意味であり、いわばEDRとNDRを統合したような位置づけとなる。ここでは、ESETのXDRソリューション(ESET Inspect)を例に、具体的な機能を説明する。
統合的なデータ収集環境の実現
1つの機器からのログでは検出できない脅威であっても、複数の機器からのログを統合して相関分析することで見つけ出せる場合がある。例えば、ESET InspectはESET PROTECTプラットフォームによるXDRを実現するコンポーネントであることから、統合的なデータ収集環境を実現している。また、パブリックREST APIを実装していることから、SIEMなどのログ収集ソリューションとの連携も可能としている。
ランサムウェアへの徹底的な脅威検出
昨今、ランサムウェア攻撃の高度化が著しい。バックアップに侵入するケースもあり、ランサムウェアの実行を阻止できないような事態も生じている。ESET Inspectではこうした危険な兆候に対して速やかにアラートを発出することで、その後の被害を抑止する。
振る舞い検出と従業員の無意識な行動
セキュリティのウィークポイントとして、セキュリティリテラシーの低い従業員の存在を挙げる企業・組織は少なくないだろう。ESET Inspectでは、リスクの高い行動によってアラートが発出されるが、そのアラートの頻度が高い従業員のアクティビティを検証することが可能だ。
脅威ハンティングと脅威のブロック
XDRは横断的に監視することで脅威の検出・対処を行う。そのため、脅威の検出精度が重要となる。ESET Inspectでは、ESETのLiveGridレピュテーションシステムなど実績の高いエンジンを用いることでその安全性を担保している。
ネットワークの可視化
ネットワークやデバイスを横断的に監視するためには、ネットワーク、デバイスを可視化する必要がある。ESET Inspectでは、ネットワークだけでなく、デバイス上のアプリケーションも把握することで適切な管理を実現する。また、Torをはじめ匿名性の高い通信が行われている動きを検出して対処することが可能だ。攻撃手法の検出ルールの設定、調整を自社のビジネス環境に応じて行えることで組織的なセキュリティレベルを高めるのに寄与する。
レポーティング
先述したネットワークの可視化を含め、脅威を予防するためには、その時々の状況を逐一反映するダッシュボードの存在が重要だ。また、対処すべき事項について重要度などのスコアでソートできれば、優先度に応じた対処が可能となる。ESET Inspectは、ESET PROTECTのコンポーネントであることからESET PROTECTのダッシュボードに統合されており、一体的な利用が可能だ。
状況や環境の変化を考慮した調査と修復
XDRの導入でネックとなるのが発出されるアラートの見極めと、日々変化する自社の状況に応じたチューニングだ。そのため、発出されるアラートの精度を高める必要がある。ESET Inspectでは、従業員それぞれの業務のコンテキストを踏まえてグループ化できる。グループごとにルール設定することで、担当業務や役割に応じたコンテキストに基づき、それぞれのアクティビティを監視することが可能となるのだ。
こうした横断的なソリューションではさまざまなデータを相関して分析を行うことで、複雑化・巧妙化する高度なサイバー攻撃の兆候を見つけ出す精度の向上が期待できる。また、セキュリティソリューションからのさまざまなログを統合管理して分析する必要がなくなるため、セキュリティに関する生産性の向上、業務効率化が見込めることもメリットだろう。
XDR導入における注意点
XDRを導入することによって、横断的に業務環境を監視し、インシデントの兆候をいち早く見つけ出すことで、自動的に隔離などの対処が可能となる。このようなXDRのメリットは魅力的であるが、一方で導入における注意点も存在する。
設定と運用の複雑さ
XDRは高度なセキュリティソリューションであるため、その設定も複雑になりがちだ。また、運用段階においてもさまざまなアラートが発出されるなど、その精査や調整が必要となる。そのため、刻一刻と変わるサイバー攻撃の手口、自社の業務環境に応じて絶えずチューニングをしていくことが求められる。
発出されるアラートの精査
業務のデジタル化に伴い、企業・組織の業務環境では日々、多くの通信が発生する。そして、企業の規模や取引先の多さによってその数は乗算的に増えていくことになる。これらの通信を監視していく中で、不正あるいは不審な通信が確認された場合、アラートが発出される。そうしたアラートを精査し、脅威ではない通信については無用なアラートが発出されぬよう設定を変更していくことになる。こうした対処を継続的に行う必要があることはセキュリティ体制によっては大きなネックとなりかねない。
専門的な知識、スキルの要求
先述のとおり、XDRから発せられるアラートへの対処にはセキュリティに関する専門性が求められる。また、セキュリティだけでなく、ネットワークやデジタルデバイスなどへの網羅的な知識、企業によってはレガシーなシステムへの知識も必要となってくる場合がある。
このように、XDRの導入には専門性を有する人材を束ねたチームの設置・運用が求められる。しかし、リソースに余裕のある大企業などを除き、セキュリティ対策の専門組織を社内に設置するのは現実的に難しい場合が多い。そうした企業・組織の現実的な課題に呼応して登場し、注目を集めているのがMDR(Managed Detection and Response)と呼ばれるサービスだ。
例えば、ESET PROTECT MDRでは、「インシデント発生時の初動対応」、「脅威モニタリング」、「初期最適化(チューニング)」といった領域をサービスとして代行する。XDRなど高度なセキュリティソリューションの設定、運用を請け負うサービスがMDRであり、セキュリティ専門人材を自社内に配置できない企業・組織にとって、有用なサービスとして活用の裾野が広がっているのだ。
国内ではここ数年、人材不足が常態化し、ましてやセキュリティ対策を担える人材の自社雇用は厳しい環境にある。その一方で、コンプライアンス重視などの風潮もあり、サイバー攻撃への対応は企業・組織の重要な経営課題となっている。高度なセキュリティソリューションであるXDRをただ導入するだけでなく、どのように効果的に運用していくのか。自社の置かれた状況やリソースを考慮して、さまざまな選択肢の中から最善の選択をしておきたい。