XDRによるセキュリティ体制の運用改善のススメ｜トレンドマイクロ

調査機関「ESG社（Enterprise Strategy Group）」のアンケート調査によれば、企業や組織のセキュリティチームの半数以上が、現在のセキュリティ運用は以前よりも難しくなっていると回答しています。セキュリティチームは現在、前例のない、以下の5つの主要な変化の波に直面しています。（以降の図版は全て、ESGのレポート「 The XDR Payoff: Better Security Posture 」からの引用です）

1. 多くの企業や組織内でアタックサーフェス（攻撃対象領域）が急速に拡大し、さらなる脆弱性の拡大さらされています。
2. 脅威状況は絶えず進化し、攻撃手口の洗練度が高まっています。
3. クラウドアプリケーションとサービスの導入増加し、既存のセキュリティツールが変化の対応に追いつかなくなっています。
4. クラウドインフラストラクチャへの移行に伴い、戦略的な多層防御セキュリティ対策によって、対応すべき警告、テレメトリ、ノイズの量が増大しています。
5. 圧倒的な量のアラートによる疲弊にセキュリティチームは直面しています。

この状況を解決するために、企業や組織のセキュリティチームはサイバー攻撃者の一歩先を行くことが必要です。XDRは、そうした必要性に応じ、これらの課題を効果的に対処する新たな機会を提供します。

検出および対応への評価

ESGの調査では、検出および対応の評価について、企業や組織のセキュリティ、ITの戦略、プロセス、技術を担当する専門家を対象に、大規模なアンケートを実施しました。（回答者は、全員が北米（米国とカナダ）を拠点にして従業員500人以上の規模の企業や組織の被雇用者が対象）

この調査では、XDR導入事例の3つのレベルのグループで示す分類方法のフレームワークを実施しました。この場合、XDR 的手法の採用度合いが高い企業がレベル3に該当します。

この調査の実施前、XDR導入が最も高い企業は、さまざまなセキュリティツールの活用によるデータ集約や相関分析において顕著なレベルを達成し、高度に自動化されたアプローチを採用しているという仮説を立てていました。

XDRとは

XDRは、エンドポイントに加えて、ネットワークやサーバ、メールなど複数のレイヤの情報を相関分析することで、サイバー攻撃の全体像を可視化して対処できます。XDRは、各セキュリティ製品から統合化されたテレメトリ（脅威の解析情報）は、AIや機械学習、各ベンダからの脅威情報などをもとに相関的に分析され、リアルタイムで脅威検出、調査、対応、ハンティングを最適化します。さらに、柔軟性、スケーラビリティ、自動化を提供するクラウドネイティブのプラットフォームです。

セキュリティ業界では、XDRの主な機能が先進的な脅威検出として周知されており、企業や組織のセキュリティチームに以下のような柔軟性、スケーラビリティ、自動化の機会を提供します。

• 複数レイヤのテレメトリと、セキュリティ関連のエンドポイント検出を統一
• アカウントの侵害、脆弱性、アクティビティデータ、および脅威を監視して評価するための高度な相関分析とリスク評価の利用
• ユーザ環境のアラート数を削減するためのリスクに対するアクション可能な洞察の提供
• リアルタイムでの組織内の、調査、対応、およびハンティングの最適化

ESGの調査では、下図のとおり、XDRを導入する際の企業や組織の優先事項として7項目を確認しました。

XDRについての誤認識

セキュリティおよびITの専門家の間でXDRの導入率が増加しているにもかかわらず、XDRについて誤った認識が広まっていると言えます。ESGの調査によると、55%がXDRをEDRの単なる延長と考えており、44%がXDRを以下のいずれかだと考えています。

1. 単一のセキュリティベンダによる検出および対応ための製品
2. 脅威の予防、検出、対応を相互運用および調整することを目的として異なる製品間で統合されたセキュリティ製品のアーキテクチャ

こういった機能に対する誤解により、多くの企業や組織がXDRの働きをさせようとSIEM（Security Information and Event Management）を導入してしまう原因となっています。そのためESGの調査結果では、多くの企業や組織が自分たちのSIEM業務が期待を満たしていないと感じているとわかりました。また、多くの企業や組織がログやテレメトリーデータをSIEMで収集し、これによって脅威の発見、調査、対応するルールを適用しようと試みているためかもしれません。しかし、現場のSIEM運用では、これらの情報から不審なネットワークイベントを効果的に相関させる作業に苦労し、攻撃の兆候を把握する作業負担をセキュリティ担当者に押し付けるだけとなるケースも少なくありません。

セキュリティ体制を強化するXDR

予想通り、XDR導入のレベルが高い（本調査におけるレベル3）の企業や組織は、効果的に攻撃が阻止できたと報告しています。ESGの調査によると、レベル3の回答者では、脅威の検出と対応能力に自信があり、レベル1とレベル2の回答者に比べてストレスが少ないと感じていると報告されています。さらにレベル3の回答者は、XDRの導入により、複数レイヤ間でのデータ相関の有効性が向上し、さまざまな運用上およびセキュリティ対策上の利点が得られたとも認識しています。

実際、XDR導入レベルが高い（レベル3）の企業や組織は、セキュリティ関連のほぼ全分野で改善された結果を示し、「脅威/侵害の分析、脅威とアラートの優先順位付け、高度な攻撃への可視化、および検出と対応時間の著しい改善を達成した」と回答していました。

なお、以下のグラフに示されているように、レベル2およびレベル1の間でも前者のグループで優れた結果が確認されていました。

このようにESGの調査データからは、導入レベルとセキュリティ体制との相関関係がよりはっきりと示されています。XDR導入レベル3の企業や組織は、レベル1およびレベル2と比べて、異なるセキュリティコントロール間で相関分析が可能であると回答した割合が61%高くなります。また、レベル3の企業や組織の50%が、XDRによる相関分析は非常に効果的であると回答しています。

運用改善としてのXDR

一方、ESGによるアンケート回答者の63%は、全体的なデータ相関ではまだ改善の余地があると述べています。これらの改善は、自動化適用を進める中、相関分析が可能な各種ルールのさらなる精緻化に務めることで達成できるでしょう。

こうしたギャップを埋めるために、多くのXDRソリューションでは、さまざまなソースから広範で最新の脅威情報を活用して、ルールを継続的かつ自動的に精緻化する機能にもコミットしています。ESGの調査からも、このような動的で継続的な更新が可能な検出ルールおよび脅威情報を提供するXDRソリューションが好まれていることが読み取れます。

今回の調査結果が示すように、複数のセキュリティ業務の経路間で得られた情報の相関分析に投資した企業や組織ほど、より迅速に検出・対応することが可能であり、より多くのアラートを処理し、全体的なセキュリティ体制の改善を実現しています。XDR導入レベル3の企業や組織は、低いレベルの企業や組織よりも、対応時間の短縮を実現した割合が46%高くなっていました。

図4：セキュリティ、脅威検出、および対応制御データの統合と集約プロセスに関する回答

このようにXDRは、全てのセキュリティチームに関連性の高いアラートと可視性を提供し、また、利用時のカスタム化やインフラ構築に高いコストや複雑さが伴うこともありません。

実際、XDR導入レベル3の企業や組織の72%では、「調査が現実的でないので無視してしまうアラートの割合」は25%未満に過ぎませんでした。それに対して、レベルの低い企業や組織の65%で「アラート無視の割合」が25%以上となっていました。アラート対応の向上を目指す企業や組織にとって、XDRは、脅威への優れた可視性と対応の迅速化を実現してくれます。