XDR ノイズの解明とプロアクティブなアプローチの認識

サイバー セキュリティのプロフェッショナルはこの訓練をよく知っています。大量の情報やノイズを整理して、本当に必要とするものにアクセスします。XDR (Extended Detection & Response：拡張エンドポイント検出/対応) は、多くの表記と約束事を伴う技術用語としてサイバーセキュリティ業界で使用されています。これは、執拗な敵からの防御に頭を悩ませているサイバーセキュリティのプロフェッショナルにとって興味深くもあり、厄介なものでもあります。このブログの目的は XDR を明確にし、ノイズや誇大広告を排除して、適切で目的にかなったサイバーセキュリティの会話と行動につなげることです。そして、プロアクティブなアプローチのニーズを探ることです。

 

まず、XDRとは何を指すのか、そしてその進化について説明します。上記に示したように、XDR は「Extended Detection and Response」の略です。「Extended（拡張）」とは、エンドポイントを超えて、ネットワークやクラウドインフラストラクチャにまで及ぶことです。このクロスインフラストラクチャやクロスドメイン機能が XDR の共通項であることがわかります。 XDR は、EDR（Endpoint Detection and Response、強固なエンドポイントでの検出と対応）の進化形です。皮肉なことに、XDR は、新興のセキュリティオペレーション市場への参入を目指していたネットワークセキュリティベンダーが 提唱したものです。

 

業界の展望

業界の専門家たちは、このサイバーセキュリティのための XDR 機能について意見を述べています。Gartnerの定義では、XDRとは “複数のセキュリティ製品をネイティブに統合し、ライセンスされたすべてのコンポーネントを統合した一貫性のあるセキュリティ・オペレーション・システムを実現する、SaaSベースのベンダー固有のセキュリティ脅威検知およびインシデント対応ツール “です。Gartner は、XDR システムの 主な要件として、主に XDR ベンダーのエコシステムに焦点を当てた正規化されたデータの一元化、セキュリティデータとアラートのインシデントへの相関、インシデント対応またはセキュリティポリシー設定の一環として個々のセキュリティ製品の状態を変更できる一元化されたインシデント対応能力の 3つ を挙げています。このトピックに関する Gartner の詳細をお聞きになりたい方は、レポート（英語）をご覧ください。

ESG では、XDR をハイブリット IT アーキテクチャに対応したセキュリティ製品の統合スイートと定義しており、脅威対策、検出、対応を相互に連携して行うように設計されています。言い換えれば、XDR はコントロールポイント、セキュリティテレメトリ、アナリティクス、およびオペレーションを1つのエンタープライズシステムに融合します。

Forrester は、エンドポイント、ネットワーク、アプリケーションテレメトリを統合することで、XDR を次世代のエンドポイント検出および応答に進化させると考えています。主な目標としては、アナリストにインシデント駆動型の分析機能を提供して根本的な原因を分析すること、オーケストレーション機能を使って規定の修復を行うこと、MITRE ATT&CK 技術のユースケースをマッピングして、個別のイベントではなく行動を記述する複雑なクエリに連結させることなどが挙げられます。

 

XDRのテーマ

こうした XDR に関する議論で共通しているのは、複数のセキュリティ機能が統合され、コントロールベクター全体のデータを精査して、脅威に対応しながらセキュリティ運用の効率化を図ることです。敵の動きは不規則であるため、クロスコントロールポイントは理にかなっています。 複雑さを排除し、環境内のリスクをより良く検知・理解し、可能な対応策を迅速に検討することに重点を置いています。 検知と対応の能力の範囲は、1 つの独占的なベンダーでは実行できないことを示唆しています。多くの企業が、ドメインやベクターを超えて防御を統一し、取り組みを効率化するために、統合的なパートナーシップのアプローチを提唱しています。これは、セキュリティ分野を連携させるという新しい考え方ではなく、実際、マカフィーは以前から「Together is Power」というモットーを掲げ、それを実践してきました。

 

XDR に共通するもう一つのテーマは、調査結果とインシデントを自動的に分析し、より良い評価に近づけることで、調査活動を加速させるというものです。これによって、リアクティブサイクルの頻度を減らすことができます。

 

企業やコントロールポイント全体のセキュリティを統合し、調査を加速することは重要な機能です。例えば、「この脅威は自分の地域や業界で多発しており、非常に重要なデータを持つ対象資産に影響を与えているため、優先度が高い」というような組織的なニュアンスにも対応しています。優先順位付けも XDR のテーマであるべきですが、XDR の議論では必ずしも指摘されません。

 

XDR のコア機能の洗い出し

XDRに関するさまざまな意見やテーマを整理した結果、XDRの中核となる機能はすべて、攻撃を受けた際のセキュリティオペレーションを大幅に改善することに焦点を当てているようです。 つまり、リアクティブな機能であるということです。

 

 

XDRのコア機能とベースライン機能	内容
インフラを横断した包括的なベクトルカバレッジ	組織全体を包括的に可視化し、コントロールすることでイロ化を防止 ツール、データ、機能領域間の個別の作業を排除
組織全体のデータを集約し相関性のあるアラートを表示	手動による発見を排除し整合性の取れた情報を表示
共通のエクスペリエンスによる統合管理	共通の視点やスタートポイントを持つことで、コンソールやデータツール間の移動がなくなり、よりタイムリーで正確な対応が可能になる
セキュリティ機能の自動交換とアクション起動	検知や応答など、自動化が必要なセキュリティ機能もある
高度な機能—多くの XDR の議論では言及されていない	内容
潜在的に関連する脅威に関する実用的なインテリジェンス	組織は攻撃を受ける前に環境を積極的に強化できる
脅威の情報と組織への影響に関するインサイトを含む豊富なコンテキスト	組織は、自社への影響の大きさを考慮して、脅威の修復作業に優先順位をつけることができる
最小限の労力で連携するセキュリティ	さまざまなセキュリティ機能を連携するだけで、統一されたフロントラインを構築し、セキュリティ投資を最適化することができる

望まれる主な成果

最終的な目的は、セキュリティ運用の効率化です。これは、XDRソリューションを評価する際に役立つ成果チェックリストに表すことができます。

 

視認性	コントロール
より正確な検出	より正確な防御
変化する技術やインフラへの対応	変化する技術やインフラへの対応
盲点の低減	ギャップの低減
検出までの時間の短縮 (平均検出時間、MTTD- Mean Time to Detect)	修正に要する時間の短縮 (平均修復時間、MTTR-Mean Time to Respond)
見やすさと検索性の向上	単独ではなく、ポートフォリオ全体の強靭化を優先
より迅速で正確な調査（誤検知の減少）	ITインフラ全体の制御をオーケストレーションする

 

求められるよりプロアクティブなアプローチ

マカフィーは、先日発表したMVISION XDRによって、一般的なXDRの機能を超えて、比類のないプロアクティブ性と優先順位付けを提供し、よりスマートで優れたセキュリティ成果を生み出します。これにより、SOCがエラーの出やすいリアクティブな調査に何週間もかけることなく、調査に費やす時間を短縮できます。SOC は、より迅速に対応し、重要なものを保護することができます。敵が攻撃する前に先手を打つことを想像してみてください。

 

サイバー攻撃のライフサイクル

ソリューションかアプローチか

 

XDR は購入すべきソリューションや製品なのでしょうか、それとも組織がセキュリティ戦略を結集して取るべきアプローチなのでしょうか。 正直なところ、どちらとも言えます。多くのベンダーがXDR製品やXDR機能を発表しています。XDR のアプローチは、プロセスをシフトさせ、SOC アナリスト、ハンター、インシデントレスポンダー、IT 管理者などの異なる機能間の統合と連携を促進します。

 

XDRは誰でも使えるのか

これは、組織の現在のサイバーセキュリティの成熟度と、SOC の効率的なメリットを得るために必要な幅広いプロセスを導入する準備ができているかどうかによります。企業全体のデータを相関させることができるということは、データの意味を理解して脅威をより良く、実用的に理解するための煩雑な手作業が不要になることを意味します。 このことは様々な組織にとってメリットがあります。 リソースや専門知識を持たず、データインテリジェンスを利用していない成熟度の低い組織は、この相関関係と調査のステップを評価しますが、これが自分にとって何を意味するのかを追求し続けることができるでしょうか。専門知識を持つ中～高成熟のサイバーセキュリティ組織は、データを意味あるものにするための手作業をする必要がなくなります。成熟した組織との違いは、さらに調査を進め、修復ステップを決定するための次のステップにあります。成熟していない組織は、これを達成するための専門知識を持ち合わせていません。つまり、本当の意味での違いは、潜在的な脅威や進行中の脅威に対して、より迅速に対応モードに移行できる成熟した組織か否かという点にあります。

 

XDR の旅

成熟度が中レベルから高レベルサイバーセキュリティ企業であれば、問題は方法と時期です。ソリューションとしてEDR（強固なエンドポイントでの検出と対応）を利用しているほとんどの組織は、すでにエンドポイントの脅威を調査して解決しているため、XDR の機能を取り入れる準備ができていると思われます。しかし、この取り組みを拡大し、インフラストラクチャ全体における敵の動きをより深く理解する必要があります。McAfee MVISION EDRを使用している場合、McAfee ESMやSplunkからのSIEMデータをダイジェスト（解析）しているため、すでにXDR機能を備えたソリューションを使用していることになります（つまり、XDRの重要な要件であるエンドポイントを超えているということです）。

 

このブログでは、XDRにまつわる専門用語や不明点を取り除き、SOCの取り組みを強化するための実用的なアイデアをご紹介しました。当社が主催する MPOWER カンファレンスの XDR セッション「–ファクターを活用：X-ファクターを活用: どのように XDR を使い始めるべきか」をお見逃しなく。