Over the past 10 years, our mission at Cisco Secure has been to develop, acquire and integrate a security portfolio that simplifies operations,...
Cisco Secure はこの 10 年間、業務を簡素化し、チームの成功を促進し、組織の未来を守ることを目標に掲げ、セキュリティポートフォリオの開発、買収、統合に取り組んできました。他のベンダーもこの取り組みの重要性を認識し、それぞれの方法で追随しています。その結果生まれたのが、検出ツールと対応ツールを 1 つのプラットフォームに統合したソリューションであり、そのメリットは計り知れません。Gartner 社は最近、こうしたサービスを分類するための用語として「Extended Detection and Response(XDR)」という市場カテゴリを定義しました。新しいセキュリティコンセプトが生まれたときにはよくあることですが、さっそく複数のベンダーが飛びつき、この用語を自社製品のアピールで使い始めたのです。
しかし、ここで混乱が生じました。既存ソリューションのマーケティング戦略としてこの用語を使っているベンダーもあれば、製品名の一部として「XDR」を明示的に使っているベンダーもあるからです。同じ用語が複数の意味で使われているため、購入者にとっては実際の意味を理解するのが難しい状況となっています。
• XDR の導入を推進する必要性を理解する • Gartner 社のカテゴリの定義を確認する • シスコが自社ソリューションを通じて XDR のユースケースをどのように提供しているかを知る • XDR への第一歩を踏み出す方法を見つける
脅威を確実に検出して対処することはほとんどのセキュリティチームにとってミッションクリティカルな目標ですが、多くの場合、幻に終わります。どれだけ投資を行っても、常に「さらにもう 1 つのセキュリティレイヤー」が必要になるからです。脅威がますます高度化し、システムの境界が拡大し続け、働き方に関連した課題が次々に現れ続けている現在、ビジネスレジリエンスの確保がかつてないほど重要性を増しています。脅威の検出は攻撃対象領域が拡大するにつれてますます困難になり、脅威の滞在時間が長くなるため、企業は大きなリスクにさらされることになります。
今日の市場にはさまざまなセキュリティツールが溢れていますが、パラダイムシフトが起こらないのはなぜでしょうか?それは、ほとんどのセキュリティソリューションがそれぞれ独立して設計・開発されており、真の意味でネイティブに統合されていないからです。今日の脅威を効果的に防ぐには、すべてのコントロールポイントにわたってシステムの全体像を完全に把握する必要があります。もはや相互に統合されていないポイントソリューションの寄せ集めでは役に立ちません。
複数のポイントソリューションを統合するサービスもありますが、一般的に高額な費用がかかります。このようなテクノロジーのサイロ化はセキュリティプロセスの合理化を妨げることになります。また、利用可能なデータのごく一部しか利用されないまま、重要な意思決定が個別に行われることになります。
理論的には、新しい SIEM(Security Information and Event Management)ツールや SOAR(Security Orchestration, Automation, and Response)ツールをセキュリティ環境に追加すれば、分析や自動化などのメリットを得ることができます。しかし実際のところ、こうしたツールを使用して検出機能と対応機能の統合に必要な調整を行うだけの時間、知識、スタッフを有しているセキュリティチームはほとんどありません。仮に可能だったとしても、既存の環境に新しいセキュリティレイヤーを追加するための再調整にどのくらいの時間と労力がかかるかは予測不可能です。SIEM や SOAR による統合は、特定のコンテキストでは十分に効果があります。しかし、セキュリティソリューション間の根本的な非互換性を克服するには不十分であるため、脅威検出の迅速化や応答時間の短縮にはつながりません。
また、セキュリティチームが膨大な数のアラートに翻弄されることになるため、平均検出時間(MTTD)や平均修復時間(MTTR)などのメトリックが改善されることもありません。その結果、自動化が可能な領域の特定や重要なポリシーの調整といった重要なタスクに時間を割けなくなります。
XDR ソリューションの目的は、多すぎるベンダー数、不十分な統合、チーム間の連携や時間の欠如といった問題を軽減することです。
Gartner 社の定義によれば、Extended Detection and Response(XDR)とは、各ベンダーが独自に開発した複数のセキュリティコンポーネントからデータを自動的に収集して関連付けることができる、統合型のインシデント検出/レスポンスプラットフォームを意味します。つまり、XDR ソリューションは、さまざまなレイヤーの検出/レスポンスツールにまたがって機能し、それぞれのデータセットを正規化して、高精度な分析を実行します。またアクションを調整して、各チームがセキュリティ問題の全体像を理解し、迅速かつ効率的に修復を行えるようにします。
1:共通の形式を使用して過去およびリアルタイムのイベントデータの収集を一元化し、高速でスケーラブルなストレージリソースを使用して期間制限のない高速インデックス検索を可能にします。
2:さまざまな機械学習技術を使用して、複数の製品から収集された大量のテレメトリデータを分析し、検出が難しい悪意のあるアクティビティを検出します。
3:自動化機能を活用して日常的なタスクを処理し、対応を迅速化します。また、保護とポスチャをプロアクティブに改善します。
XDR の機能は SIEM や SOAR と似ていますが、次の 3 つの違いがあります。
1:ターンキー統合のレベルが SIEM/SOAR よりもはるかに高く、コストと手間のかかる調整は不要です。
2:XDR は脅威の検出とインシデントレスポンスに特化して設計され、SIEM/SOAR よりもはるかに優れた検出/分析ラボを利用できます。
3:一般的にクラウドネイティブ アーキテクチャを基盤として構築されているため、迅速に導入できます。
XDR ソリューションを導入すると、効率的かつ効果的なセキュリティ運用が可能となり、XDR によって統合される各ソリューションの総所有コストを削減できます。そのため、XDR はあらゆる企業にとって非常に魅力的なソリューションと言えます。
統合型検出/対応プラットフォームというコンセプトを理解するのは簡単ですが、実際に実行するのは困難です。Gartner 社によると、効果的な XDR プラットフォームを構築するうえで最大の問題となるのは、複数のデータセットを意味のある形で統合することです。すでに述べたとおり、多くのセキュリティソリューションは個別に開発されています。そのため、同じベンダーの製品であっても、API が用意されていなかったり、データベース構造に互換性がなかったり、データ正規化機能が備わっていなかったりすることも珍しくありません。API の機能は年々向上しつつありますが、異なるデータセットを理解して適切なシンタックスを整備し、環境全体の状況を把握できるようにするためには膨大な作業が必要です。
要するに、XDR は既存のソリューションの寄せ集めですぐに作れるようなソリューションではないのです。しかし残念ながら、こうした寄せ集めで XDR を作ってしまおうとするベンダーは後を絶ちません。スタンドアロン型の Network Detection and Response(NDR)ソリューションや Endpoint Detection and Response(EDR)ソリューションを販売する企業の多くが、XDR を称するために「パートナーシップ」を結んでいます。しかし、これらのパートナーシップによって実現する統合は非常に緩やかで、ネイティブな統合ではないため、XDR 本来の機能を実現することはできません。