XDRだけでは不十分？ ランサムウェア対策に必要な「組織的アプローチ」とは：歴史で分かる「ランサムウェアの進化」と対策【第8回】

「XDR」を使えば、システムを守る防御力が向上するだけでなく、セキュリティ運用の自動化も可能になる。XDR導入を成功させるにはどうすればいいのか。導入時に注意すべき点を解説する。

[平子正人，トレンドマイクロ]

　ランサムウェア（身代金要求型マルウェア）攻撃をはじめ、長期間のビジネス停止といった深刻な被害をもたらしかねない攻撃が猛威を振るっています。そうした中、脅威に対する新しい対抗手段として「XDR」（Extended Detection and Response）の利用が広がりつつあります。

　XDRはPCやスマートフォンなどエンドポイントだけではなく、サーバやネットワークも含めたシステム全体を監視するセキュリティ製品です。そのため、ランサムウェア攻撃にも有効です。しかしXDR導入時に壁にぶつかってしまうケースもあるようです。どういった点が課題となるのでしょうか。詳しく説明します。

XDRだけでは不十分？　求められる「組織的アプローチ」とは

併せて読みたいお薦め記事

連載：歴史で分かる「ランサムウェアの進化」と対策

• 第1回：いまさら聞けない「ランサムウェア」の歴史　“あれ”が全ての始まりだった
• 第2回：「RaaS」も登場　ランサムウェア攻撃が“ビジネス化”する理由と危険性
• 第3回：30年前からここまで変わった「ランサムウェア攻撃」の手口　有効な対策とは？
• 第4回：ランサムウェア攻撃者が悪用する「脆弱性」とは？　その対処法とは
• 第5回：二重脅迫にサプライチェーン攻撃　ランサムウェア攻撃“要警戒の手口”と対策は
• 第6回：標的型ランサムウェア攻撃の有力対策「EDR」の基礎　その利点と“限界”とは？
• 第7回：EDR拡張版「XDR」によるランサムウェア対策とは？　“部分的保護”はもう終わり

ランサムウェア攻撃は手口が巧妙化している

• 二重脅迫ランサムウェアの恐るべき手口
• 新たな脅威「サプライチェーンランサムウェア攻撃」の厄介な手口

　XDRは高度な攻撃に対する防御力を向上させるだけでなく、セキュリティ担当者の作業負荷の軽減にもつながります。製品によってできることは異なりますが、テレメトリー（遠隔監視）情報の収集から脅威の検知、相関分析による脅威の全体像の可視化など、さまざまな作業を自動化できるからです。

　一方でXDRを利用する際、組織によっては運用面での課題が発生することがあります。なぜなら、従来のエンドポイント保護ツール「EPP」（Endpoint Protection Platform）とXDRでは、担当者に求められる運用スキルが異なるからです。

　EPPはパターンファイルや振る舞い検知によってマルウェアなどの脅威を検知して、ブロックしたり隔離したりします。担当者の役割は、検知された脅威への対処が正常に完了しているかどうかを確認することです。XDRは収集したテレメトリー情報を基に潜在的な脅威を検出し、可視化した情報を担当者に通知します。担当者の役割はその情報を参考に、根本原因を特定したり端末を隔離したりすることです。ただし、どのように対処するかは担当者が判断して決める必要があります。

　XDRの中にはプレイブック（手順書）を作成することで対処まで自動化できるものもありますが、「どのような場合にどのような対処をするのか」といった条件設定は担当者が決めなければなりません。そのためXDR担当者には、可視化された情報を基に、実行されたコマンドや作成されたファイル、通信先などを分析し、侵入経路や根本原因を把握して最適な対処方法を判断するスキルが求められます。

　脅威への対処方法は、セキュリティ運用の監視を担う「SOC」（Security Operation Center）やインシデント対応専任チーム「CSIRT」（Computer Security Incident Response Team）など組織の体制によっても異なります。しかし、組織体制にかかわらず、XDRを導入するのであれば、XDRが脅威を検知した際に調査や対処をどのように進めるのかといった運用方針をあらかじめ決めておく必要があります。一方で、運用方針を決めても、人材不足でそもそも社内の人材では運用できないという課題もあります。そのためXDR専門の人材育成や採用に加え、運用をベンダーに任せられる「マネージド型XDR製品」の採用も検討することが重要です。

進化するランサムウェアと、XDRを使った対抗法

　XDR導入で重要なのは「組織のセキュリティ体制を絶えず進化させる」ということに尽きます。これまでの歴史を振り返ってもランサムウェア攻撃はさまざまな亜種の出現、「ばらまき型」から特定の組織を狙った「標的型」への変遷、ランサムウェアのサービス化（RaaS：Ransomware as a Service）、「多重脅迫」（データを暗号化した上で、暗号化解除やデータ公開との引き換えなど複数の要素で身代金を要求する手法）など数々の変化を遂げています。ランサムウェアは今後も最新のセキュリティ技術を回避するために巧妙に進化を続ける可能性があります。

　もちろん、XDRも新たな攻撃手法から組織のシステムを保護するために進化していくでしょう。ただ、XDRの進化に伴って運用方法が複雑化する可能性はあるので、組織は常にXDRの運用スキルを磨く必要があります。

　XDRはランサムウェア攻撃に対抗するための有効な技術に違いありませんが、導入する際には以下の3点に注意しなければなりません。

• XDRが検知した情報を有効活用するために、ランサムウェアをはじめとする脅威動向を追い続けること
• XDRを運用するための人材育成や体制整備に努めること
• 人工知能（AI）技術の活用により運用負荷を低減するツールの導入を検討すること

　担当者に一任するのではなく、組織単位で総合的にセキュリティ施策を考えることで、攻撃による被害を軽減することにつながると考えられます。

著者紹介

平子正人（ひらこ・まさと）　トレンドマイクロ

国内通信企業でネットワークサービスのプロジェクトマネジャー経験を経てトレンドマイクロに入社。主に「EDR」（Endpoint Detection and Response）と「XDR」（Extended Detection and Response）関連のセールスエンジニアとして、製品の提案や検証を担当。現在はシニアスレットスペシャリストを務め、セキュリティリスクの考察や、組織が取るべきセキュリティ対策の啓発に携わる。CISSP、CCSP、GIAC、情報処理安全確保支援士（第SC-2023-04-01196号）などのセキュリティ認定資格を取得。