「XDR」を使えば、システムを守る防御力が向上するだけでなく、セキュリティ運用の自動化も可能になる。XDR導入を成功させるにはどうすればいいのか。導入時に注意すべき点を解説する。
ランサムウェア(身代金要求型マルウェア)攻撃をはじめ、長期間のビジネス停止といった深刻な被害をもたらしかねない攻撃が猛威を振るっています。そうした中、脅威に対する新しい対抗手段として「XDR」(Extended Detection and Response)の利用が広がりつつあります。
XDRはPCやスマートフォンなどエンドポイントだけではなく、サーバやネットワークも含めたシステム全体を監視するセキュリティ製品です。そのため、ランサムウェア攻撃にも有効です。しかしXDR導入時に壁にぶつかってしまうケースもあるようです。どういった点が課題となるのでしょうか。詳しく説明します。
XDRは高度な攻撃に対する防御力を向上させるだけでなく、セキュリティ担当者の作業負荷の軽減にもつながります。製品によってできることは異なりますが、テレメトリー(遠隔監視)情報の収集から脅威の検知、相関分析による脅威の全体像の可視化など、さまざまな作業を自動化できるからです。
一方でXDRを利用する際、組織によっては運用面での課題が発生することがあります。なぜなら、従来のエンドポイント保護ツール「EPP」(Endpoint Protection Platform)とXDRでは、担当者に求められる運用スキルが異なるからです。
EPPはパターンファイルや振る舞い検知によってマルウェアなどの脅威を検知して、ブロックしたり隔離したりします。担当者の役割は、検知された脅威への対処が正常に完了しているかどうかを確認することです。XDRは収集したテレメトリー情報を基に潜在的な脅威を検出し、可視化した情報を担当者に通知します。担当者の役割はその情報を参考に、根本原因を特定したり端末を隔離したりすることです。ただし、どのように対処するかは担当者が判断して決める必要があります。
XDRの中にはプレイブック(手順書)を作成することで対処まで自動化できるものもありますが、「どのような場合にどのような対処をするのか」といった条件設定は担当者が決めなければなりません。そのためXDR担当者には、可視化された情報を基に、実行されたコマンドや作成されたファイル、通信先などを分析し、侵入経路や根本原因を把握して最適な対処方法を判断するスキルが求められます。
脅威への対処方法は、セキュリティ運用の監視を担う「SOC」(Security Operation Center)やインシデント対応専任チーム「CSIRT」(Computer Security Incident Response Team)など組織の体制によっても異なります。しかし、組織体制にかかわらず、XDRを導入するのであれば、XDRが脅威を検知した際に調査や対処をどのように進めるのかといった運用方針をあらかじめ決めておく必要があります。一方で、運用方針を決めても、人材不足でそもそも社内の人材では運用できないという課題もあります。そのためXDR専門の人材育成や採用に加え、運用をベンダーに任せられる「マネージド型XDR製品」の採用も検討することが重要です。
XDR導入で重要なのは「組織のセキュリティ体制を絶えず進化させる」ということに尽きます。これまでの歴史を振り返ってもランサムウェア攻撃はさまざまな亜種の出現、「ばらまき型」から特定の組織を狙った「標的型」への変遷、ランサムウェアのサービス化(RaaS:Ransomware as a Service)、「多重脅迫」(データを暗号化した上で、暗号化解除やデータ公開との引き換えなど複数の要素で身代金を要求する手法)など数々の変化を遂げています。ランサムウェアは今後も最新のセキュリティ技術を回避するために巧妙に進化を続ける可能性があります。
もちろん、XDRも新たな攻撃手法から組織のシステムを保護するために進化していくでしょう。ただ、XDRの進化に伴って運用方法が複雑化する可能性はあるので、組織は常にXDRの運用スキルを磨く必要があります。
XDRはランサムウェア攻撃に対抗するための有効な技術に違いありませんが、導入する際には以下の3点に注意しなければなりません。
担当者に一任するのではなく、組織単位で総合的にセキュリティ施策を考えることで、攻撃による被害を軽減することにつながると考えられます。
国内通信企業でネットワークサービスのプロジェクトマネジャー経験を経てトレンドマイクロに入社。主に「EDR」(Endpoint Detection and Response)と「XDR」(Extended Detection and Response)関連のセールスエンジニアとして、製品の提案や検証を担当。現在はシニアスレットスペシャリストを務め、セキュリティリスクの考察や、組織が取るべきセキュリティ対策の啓発に携わる。CISSP、CCSP、GIAC、情報処理安全確保支援士(第SC-2023-04-01196号)などのセキュリティ認定資格を取得。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
