セキュリティー・インテリジェンス

オープンXDRで脅威の検知と対応をさらにレベルアップ

2021-11-08

記事をシェアする:

今日のセキュリティー業界が直面している課題は、まさに最悪の事態と呼ぶにふさわしいものです。サイバー攻撃の手口はますます巧妙になるとともに、リモートワークとクラウドの普及によって攻撃対象の領域が拡大したことによるセキュリティー・ツールの急増にも拍車がかっています。このような変化によって、セキュリティーに関する洞察やデータは分断され、スキル不足もますます深刻化しています。こうした背景の中、セキュリティー・チームが脅威の検知と対応に取り組む方法は今、大きな転換期を迎えています。複雑な脅威に対峙し、デジタル変革を安全に進めるためには、広範囲な可視性、連携されたデータ、そしてスマートな意思決定を迅速に行う能力が必要です。

これらの課題を考えると、 Extended Detection and Response (XDR)が近年、大きな注目を集めているのも不思議ではありません。XDRの目的の一つは、セキュリティー・アナリストが精度の高い洞察を得て迅速な行動をとれるように、複数のセキュリティー・レイヤーにわたるエンド・ツー・エンドでの可視化、検知、調査、対応を実現することです。つまり、セキュリティー・チームがより効率的に作業できるようにすることがXDRの使命です。

このような転換期を迎えている業界において、現在どのような脅威があり、XDRがセキュリティーの課題にどのように対処するのか、そしてなぜ真のオープンなXDRがセキュリティ・オペレーション・センター（SOC）チームに必要とされるのかについて、簡単に説明したいと思います。また、2021年11月に発表されたReaQta社の買収、および、XDR Connectが、お客様のセキュリティー戦略の強化にどのように役立つかについてご説明します。

今、直面している脅威とは

セキュリティー・インシデントの危険性はかつてないほど高まっています。企業でのクラウドやリモート・ワークの導入は急速に進んでおり、それに伴いIT環境はより複雑化し、攻撃対象も拡大しています。IBM Securityがスポンサーとなって米調査会社Ponemon Instituteが実施し、分析、公開した「2021年データ侵害のコストに関する調査レポート」（PDF, 9.3MB）によると、リモートワークがデータ侵害を引き起こした要因だった場合の平均コストは、リモートワークが要因ではなかった場合よりも107万ドル高くなりました。また、従業員の50%以上がリモートワークをしている組織では、その割合が50％以下である組織よりも、データ侵害を特定して封じ込めるまでの期間が58日長くなりました。

リモートワークへの移行は、企業にとって明らかにコストのかかるものでした。

一方で、脅威の量と深刻さは増加の一途をたどっており、セキュリティー・チームには迅速な検知と対応が求められています。しかし、セキュリティー・チームが直面している最も困難な課題は、セキュリティー・ポイント・ソリューションの急増です。これが原因で、データとツールが無秩序に増加し、セキュリティー・アナリストが脅威の全体像を把握して迅速な対応策を講じることがほぼ不可能になってきています。

実際、Ponemon Instituteが作成した「2020年サイバー・レジリエンス・レポート」によると、50を超えるセキュリティー・ツールを使用している組織は、サイバー攻撃を検知する能力が8%低いという結果が出ています。さらに、可能な限り多くのデータを取り込み、分析する従来のセキュリティー解析の手法では、スピード、精度、コストの面で課題があり、セキュリティー・アナリストが潜在的な脅威を完全に把握することは困難です。

XDRによるセキュリティー課題への対応

XDRは、脅威の検知と対応に必要なすべてのアンカーテナントを、シンプルでシームレスなユーザー・エクスペリエンスに集約し、反復的な作業を自動化することで、アナリストを支援します。必要なコンテキストを1つにまとめて提供するため、アナリストは無数のユース・ケース、さまざまな画面やワークフローおよび検索言語に迷うことなく、迅速に行動を起こすことができます。セキュリティー・アナリストは、あらゆるシナリオに対応するために延々とプレイブックを作成する必要がなくなり、迅速に対応できるようにもなります。XDRは、Endpoint Detection and Response (EDR)、ネットワーク・データ、セキュリティー分析のログやイベント、クラウドやデータ保護などの他ソリューションから得られる洞察を統合し、潜在的な脅威の全体像を提供します。

XDRには、根本原因分析と推奨される対応策を自動化する機能が組み込まれています。これは、IT環境やセキュリティー・インフラストラクチャーが複雑化する中、全体にわたって確実かつ迅速に対応するためには不可欠です。

ツール、データ、ワークフローの複雑さが主な課題であっても、ランサムウェアによる攻撃であっても、脅威を迅速に検知して封じ込めることが重要です。XDRによってワークフローがシームレスに連携し、より深い洞察の獲得、迅速な行動や自動応答が可能となり、脅威を防ぎ、進行を遅らせることが実現できるようになります。XDRによる広範囲な可視性とシンプルさは、高度な脅威から素早く防御し、見えない攻撃者を積極的に探し出し、継続的に規制に準拠するのに役立ちます。

さらに、高度な分析とAIや自動化を組み合わせることで、調査を迅速化し、脅威を自動的に取り込んで抑制することができます。調査に費やす時間が短縮されることで対応が改善され、アナリストがより多く時間を影響度の高い戦略的な分析に割くことができるようになります。

オープンであることがXDRの重要な要件である理由

ネイティブなXDRアプローチを採用して単一のベンダーから全てのソリューションを調達するセキュリティー・チームもあれば、ハイブリッドまたはオープンなXDRモデルを採用して、さまざまなベンダーやパートナーからソリューションを調達するチームもあります。オープンなXDRとは、データを移動することなく、サイロ化されたツール間で重要な洞察を連携し、統一されたワークフローを実現するクラウドネイティブなプラットフォームのことを指します。

コスト削減とモダナイゼーションが求められる現在の状況では、組織は既存のセキュリティー・ツールを組み合わせ、「無料」のツールを活用したセキュリティー機能の強化に取り組んでおり、必要に応じてさまざまなベンダーのソリューションを統合してシンプル化することも選択肢に入れて検討しています。つまり、XDRを成功させるには、セキュリティー・チームを統合するためのネイティブな機能の選択肢とともに、強力でオープンなアプローチが必要です。

ただし、オープンの定義はすべて同じというわけではありません。長年にわたり、ベンダーは自社のプラットフォームがオープンであると主張してきました。しかし、これはベンダー固有の APIやポイント・ツー・ポイントの統合、処理に時間がかるデータ・マッピングが必要である場合がほとんどです。急速に変化する環境においては、このような阻害要因がある状況は持続可能とは言えません。セキュリティー・ベンダーが標準化されたAPIや概念を提供し、ベンダーごとに特定の作業を行わなくてもセキュリティー・ツールが相互に連携できるようにするには、オープン・スタンダードとオープンソースに基づく異なるアプローチが必要であるとIBMは考えています。これはOpen Cybersecurity Alliance（ibm.com外、英語）の目標であり、根本的に異なるアプローチを取るものです。例えば、ベンダー固有のオープン・スタンダードの実装をすべてオープンソース化し、コミュニティー全体で無料化します。。

最も重要なことは、オープンなセキュリティー・プラットフォーム上でXDRを提供すれば、企業は既存の投資を活用することができ、既存のソリューションを丸ごと入れ替える必要がなくなるということです。また、このようなアプローチは、投資の適応性を高めることにもつながります。急速に変化するIT環境では、オープン・プラットフォーム化によって、繰り返し押し寄せる新しいテクノロジーの波にSOCが対応できるようなります。

IBM、包括的でオープンなXDRソリューション「QRadar XDR」を発表

現在のIT環境の中においても企業が継続して成長できるように、IBMセキュリティーは、SIEMからネットワーク、リスク、AI、ユーザー行動分析、エコシステムへと長年にわたって進化し続けたソリューションをさらに発展させた「QRadar XDR」で、オープンなセキュリティー・アプローチを実現します。QRadar XDRは、SIEM、SOAR、Network Detection and Response (NDR)のネイティブ機能を備えたセキュリティー・ソフトウェア・スイートであり、オープン・スタンダードとオープンソースをベースにしています。QRadar XDRは、既存のツールやIBM製品と柔軟に接続し、統合することが可能です。

さらに、ReaQta社の買収によって、ネイティブEDR機能をQRadar XDRスイートのオプションとして提供できるようになり、脅威の検知と対応の能力をさらに強化するご支援をします。ReaQta社のエンドポイント・セキュリティー・ソリューションは、AIを活用して脅威を特定し、管理します。このユーザー行動をベースとしたセキュリティー・プラットフォームは、IT基盤のオペレーティング・システムに依存しないエンジンを活用しており、既知もしくは未来の脅威からもデータを保護します。今回の発表は、オープンなアプローチによって、さまざまな種類のツール、データ、IT環境をまたがって、高度なセキュリティーを提供するというIBMの戦略に沿ったものです。

さらに、このスイートにはインテリジェントAIで設計されたXDR Connectが含まれており、データ、ツール、ワークフロー、人をつなぐことで、セキュリティー・アナリストの生産性を向上させ、より深い洞察の獲得と迅速な行動ができるように支援します。XDR Connectは、統合されたシームレスなユーザー・エクスペリエンスを提供し、アラートのトリアージ、調査、脅威ハンティング、原因分析と対応の自動化を可能にします。また、最新の脅威インテリジェンスの洞察データへのアクセスや、事前に定義された検知や対応ルールによるセキュリティー・インシデントの一元管理も提供します。XDR Connectは、オープン・スタンダードとオープンソースを使用しているため、組織が既存の投資（EDR、SIEM、NDRなど）を活用しながら、それぞれのペースでモダナイゼーションや統合を進めることができ、ベンダーロックインを回避した、将来を見据えたアーキテクチャーを構築することができます。

QRadar XDRは、脅威の検知と対応の強化、シンプル化、自動化を目指すSOCチームの要求に応えます。インフラストラクチャーのモダナイズを進め、脅威に対する防御を強化する今こそ、真にオープンなアプローチで脅威の検知と対応を次の段階へレベルアップさせる必要があるでしょう。

この記事は英語版Security Intelligenceブログ「Taking Threat Detection and Response to the Next Level with Open XDR」（2021年11月2日公開）を抄訳したものです。

【関連情報】