セキュリティ業界で最注目のXDR、その導入のノウハウを業界のトップランナーであるTREND MICRO Partner Engineer Award受賞者の村上氏に聞いてみた。
デジタルサービス技術本部 デジタルインフラ事業部 基盤第三ソリューション部 クラウドセキュリティグループ
システムエンジニアながら、顧客提案から構築~運用までを一気通貫でこなす。その丁寧な仕事ぶりで顧客からの信頼も厚い。また全国にまたがる支社のメンバーと率先して情報連携し、スキルの底上げ・均一化を図る。
2023年 TREND MICRO Partner Engineer Award Endpoint Security Award 最優秀賞受賞
https://www.trendmicro.com/ja_jp/partners/channel-partners/engineer-award-2022.html
●企業のITインフラを管理する技術者、およびセキュリティソリューションを検討している方
●EDRやXDRの導入を手がける現場エンジニアが行っている、リアルを知りたい方
エンドポイントとは、パソコンやサーバ、スマートフォンなど、ネットワークの末端で利用されている機器のことを指します。昔は会社にあるパソコンやサーバは、ファイアウォールなど境界製品を介してインターネットに繋がっており、直接インターネットへ接続することは限られていました。しかし、クラウドサービスの充実、テレワークの進展などにより、エンドポイント自体がインターネットにさらされることが増えました。また、インターネットとの境界に設置されたセキュリティ製品の脆弱性も依然として狙われ続けています。こうした環境の変化から「脅威は入り込んでしまうもの」という前提で、被害を「未然に防ぐ」だけではなく、「最小限に抑える」アプローチも必要になりました。もはや、境界製品という「点」で防御するだけではなく、エンドポイントを「面」で防御する必要性が出てきたわけです。
今も昔も一番多いのは「マルウェア」です。脆弱性を突き、IDを盗んで、サーバなどに悪意のあるソフトウェアを仕込みます。世の中の攻撃の半数以上はマルウェアが絡んでおり、マルウェアは必ずエンドポイントを経由します。
さらに最近では、感染したコンピュータをロックし、ファイルを暗号化して身代金を要求する「ランサムウェア」の被害も増え、日々ニュースになっています。警察庁に報告のあった件数だけでも、令和2年下期は21件でしたが、令和4年からは100件を超えています。警察に通報されていないものを含めれば、もっと多いでしょう。
こうしたインシデントが増加し、ニュースやインターネットなどを通じて私たちの耳によく入るようになったことが、エンドポイントセキュリティがより注目されている背景になります。
ドライブレコーダーをイメージするとわかりやすいでしょう。ドラレコは事故の時だけではなく、常に車の周囲を監視しています。ドラレコが無い時代でも、事故の原因を調べることはできました。しかしそれは、警察というプロが専門の高価な道具を使い、現場の交通を止め、多くの時間を使って検証して、初めてわかることでした。
セキュリティインシデントも同じで、インシデントが起きたあとに何が起きたのか調べることはできますが、非常に大変で費用もかかります。しかし、何が盗まれたのかがわからないと、被害状況を対外的に報告することはできませんし、どのような対策を取ればよいかもわかりません。
近年、そのような対応では企業は信用を失い、事業継続に影響を及ぼすような事態を招く可能性があります。厳しい言い方をすれば「企業としての責任を果たしていない」となってしまうのです。
EDRは、ドラレコのようにパソコンなどのエンドポイントで何が起きたかを常に記録することで、こうした事態につながることを防ぎ、リスクを最小化します。
以前は「多層防御」という考え方で「情報が盗まれることをどこかの段階で止める」ということが一般的でした。しかし、近年流行しているランサムウェアは「盗む」だけではなく、「破壊」を伴う攻撃です。侵入したあと、すぐにファイルを暗号化するわけではなく、内部でさまざまな偵察活動を行い、価値の高いデータやより重要な機器を探します。そのため、どれだけ早い段階で対処できるかが重要となります。早く発見できれば、不審なプロセスの遠隔停止や端末の遠隔隔離などの機能によって、「侵入はされたが、データ流出や暗号化されるといった事態になる前に止める」ことができます。
つまり、EDR/XDRの「D」、Detection(検知)と、「R」、Response(対応)が重要になるわけです。常に監視することで、何かあればすぐに検知・通報し、被害を最小限に抑えることにつながります。
また、どこから侵入されて、何をされたのか、情報がどこまで盗まれたかなどは、EDR/XDRがなければ追跡は困難です。取引先や顧客への発表も「よくわかりませんでした」となってしまうでしょう。一方で、「侵入はありましたが、個人情報の流出はありません」「侵入経路が判明したので、こういう対策を取ります」など具体的な発表ができると、印象はまったく変わります。
こうしたことから、常にエンドポイントを監視し、かつ隔離などの初動対応機能を持つEDR、さらにはエンドポイントのみならず、ネットワーク、クラウドなど複数のデータソースからの情報を統合的に分析できるXDRに注目が集まっています。(以下、EDR/XDRは「XDR」と称する)
導入後は「運用」が始まり、運用には三原則ともいえる、①検出、②調査、③対処と、3つのフェーズがあります。特に②調査、③対処が実際の運用で鍵となるところです。
この運用を自社で行うのか、外部に委託するのか、ここはとても重要なポイントなので、導入を検討した段階でしっかり想定しておくことが大切です。自社で運用する場合、大前提として、従来の情報システム部の業務に、新たな業務が追加となることを考慮する必要があります。具体的な作業としては、運用体制を構築し、運用ルールを定めることです。
例えば、②調査フェーズではスピード感が重要です。XDRは「何か怪しい動きが起きていること」を通知するものなので、そうしたイベント発生時に、何を・どこまで調査するかという方針をあらかじめ定めておく必要があります。さらに、業務時間外の対応はどうするかといった様々な場面を想定した検討が必要です。
また、XDRがアラートを出した際、エンドポイントの利用者に何をしていたかヒアリングが必要になるケースや、通信の動きについてネットワーク担当者に確認が必要となるケースも出てきます。何よりそうした対話がスムーズに行える雰囲気づくりも欠かせません。
ただ、実際こうしたことは導入前にイメージすることは難しく、運用開始後に初めて直面するハードルとなり軌道修正が必要なため、実際の運用が安定するまでにある程度の時間を要します。
一言で言えば「通知されたアラートをどう判断すれば良いかわからない」です。前述した②調査フェーズで言えば、XDRが通知するのは、従来のウイルス対策ソフトが「ウイルスを検知した」とアラートを出すような単純なものではなく、「攻撃で悪用される手法、あるいはそうした特徴が組み合わさったものを検出した」というものです。扱う側・受け取る側には、XDRの通知を「読み取る能力」が求められます。
次の、③対処フェーズでも同様に「どうすればよいかわからない」という問題が生まれます。XDRの検知に対して、「こう対応すればよい」という汎用的な対応策はありません。通知の内容や会社のセキュリティポリシー、業務への影響の可能性によって必要な対処は違います。極端に言えば、業務アプリの正常な動きがXDRには怪しく見え、アラートが出ることで、管理者がその対応に追われてしまうこともあります。
トレンドマイクロのTrend Vision One™ には、前述の課題を払拭する機能が備わっているので使いやすいと感じています。例えば膨大なアラートから注目すべきものを自動で抽出し、リスクスコアを表示する機能があります。また、アラートの対応方針をアドバイスする機能も備えており、対応優先度を的確に判断できます。本来「読み取る力」が必要なXDRですが、これらの機能があれば調査・対処に割く時間を大幅に削減できるでしょう。
そして、こうした運用を誰が行うかについては、お客さまの要望に合わせて最適な方法を提案します。XDRの導入から運用まで、不安を感じられるお客さまへはプロに任せることを提案しています。運用をプロに任せるとは、ネットワークやシステムの監視、ログ分析から、サイバー攻撃やインシデントの発生を把握、対処するSOC(ソック:Security Operation Center)をアウトソーシングするということです。
攻撃の複雑化に伴い、XDRが検知する「怪しい行動」は増加し、新しいタイプの攻撃も出現しています。そうなると運用経験の浅い担当者では判断が難しい場合もありますが、プロに委託することで培った知見をもとに対応することができます。何より導入直後の様々な調整も委託先が主導し、通常業務への負荷を最小限に抑えてXDRを導入することが可能です。
自社での運用を希望されるお客さまには、導入時の基本設計、パラメータ設定などに加えて、お客さまの情報システム部の体制に合わせた簡単な運用フローの提案や、実際の操作画面を見ながら、次に取るべきアクションなどを説明しています。
「この画面にこれが出たら、調査として次のようなアクションを取りましょう」と言った実践的なアドバイスや、「対処が必要になった場合は、このフローチャートで回してみて、運用ルールを少しずつ整備していきましょう」といった提案で、実際の運用をお客さまと一緒に、一周回してみるようなイメージです。
常に最新情報を入手し、外部のセミナーにも参加しています。我々リコージャパンは「販売会社」なので、トレンドマイクロの製品に留まらず、いろいろなセキュリティ製品を扱っています。そのため、世の中で今、どのようなことが起きているかは、情報が常に入ってきます。また、社内にはSEのコミュニティがあり、最新事例や解決方法についての情報を交換しています。
セキュリティ業界に我々のような「販売会社」が関わっていることの意味は、そうしたところにあると考えています。よりお客さまに近いところで、お客さまが必要とされているものをメーカーにこだわらず提供することができ、経験値が蓄積されています。
XDRは、今や業種や業態を超えて不可欠なものです。「うちはクローズド環境だから大丈夫」とおっしゃるお客さまもいらっしゃいますが、実は外部とUSBでデータをやり取りしているケースは少なくありません。また、クローズド環境であっても、工場や病院などに導入される機器によっては、メーカーがメンテナンスのためにVPNを接続しているケースもあります。
セキュリティ製品の提案は、どうしてもホラーストーリー、脅しのようになりがちで、費用対効果もわかりにくい。また導入したからといって、業務効率が上がるわけでも、売上につながるわけでもないので、どうしても痛い目にあってから導入する、というケースが多くなります。
ではなぜ導入すべきなのか、それは「お客さまのお客さま」や「お客さまの取引先」のためです。お客さまからお預かりしている大切な情報を守ることや、取引先との安全なやり取りにつながります。ぜひ、セキュリティを「ポジティブな投資」としてお考えください。
「当社はセキュリティに投資しています」「事業を継続するためにセキュリティを重視しています」といったことを、ぜひ、お客さまや取引先、株主にメッセージとして発信してほしい。XDRに限らず、セキュリティ製品は「守りの製品」としてだけでなく、ポジティブな「攻めの投資」にもできると考えています。「どんな効果が期待できるか」ではなく、「セキュリティ製品への投資に対する効果を最大化するために何ができるか」という発想に切り替えていただけたら幸いです。
全国100名超のトレンドマイクロ認定プロフェッショナルが、
ラストワンマイルの顧客接点を生かし、お客さまのセキュリティを支えます。
Trend Vision Oneには無償のメール訓練サービスがあります。
自社社員のセキュリティ意識啓発へつながるトレンドマイクロの訓練サービス
村上氏をはじめ14名の方が受賞した
TREND MICRO Partner Engineer Award
トレンドマイクロ株式会社
https://www.trendmicro.com/ja_jp/business.html