XDRの選び方
~実際XDRは本当に必要なのか?~
- お役立ち情報
2023年10月12日
- エンドポイントセキュリティー
- セキュリティー対策
- マルウエア対策
- ネットワークセキュリティー
- 監査証跡/ログ
今回ご紹介するのは、XDR(eXtended Detection & Response)です。
ただ、XDRを取り上げるのは、今回が初めてではありません。
それでは、なぜまたXDRを取り上げるのか?
その理由はXDRを取り巻く環境の変化です。ここ最近、セキュリティーイベントなどで「XDR」をアピールするメーカーが急激に増えており、前回XDRを取り上げたタイミングと比べて、メーカーの開発がかなり進んできていると感じています。
そこで、XDRの最新事情を皆さまに再びお伝えしたいと思い、筆を執りました。
「XDRの選び方のヒントを掴んで欲しい」
あらためて申しますが、弊社は以前よりXDRに注目しております。注目している理由は後述します。
本記事では、多くの皆さまにセキュリティーへ関心を持っていただけるよう、エンジニアではない筆者の言葉でXDRについて解説します。さまざまな場面で申し上げていることですが、セキュリティーは難しくて敬遠したいものではなく、働く皆さま一人一人を守る身近なものと感じていただけたら嬉しく思います。
目次
1.XDRに注目する理由
XDRに注目する理由は、大きく2つあります。
(1)サイロ化されたセキュリティーを統合できる
(2)セキュリティー人材の不足をカバーできる
XDRは、今まで手動で実施していた複数のセキュリティーからログを収集し、相関分析した結果から異常を検知する作業を自動で実行してくれます。そのため、XDRはセキュリティーにおけるサイロ化と人材不足の課題を解決してくれる可能性を秘めています。
例えば、EDR (Endpoint Detection and Response)とファイアーウオールのそれぞれを語ることができる担当者は別々にいるとしても、EDRとファイアーウオールの状態を総合的に判断して、それがその組織にとってどの程度重大なセキュリティーアラートなのか判別できる人材は少ないでしょう。
実はこのセキュリティーにおけるサイロ化と人材不足の穴は、攻撃者に狙われています。
使い慣れたツールは分かっても、別ツールは分からないことはあり得ることですし、アラート発生時に網羅的に対処できる人材が常時待機していなければ、結果的にアラートは放置されます。また、常にアラートが正しければよいですが、誤検知が散見されると、ますます重大なアラートが放置される危険性が増えます。
これがセキュリティーのサイロ化が引き起こすリスクです。
そして、今の生成AIの盛り上がりも無視できません。すでにガードレールのない生成AIに攻撃者は目を付けており、年中無休で働き続けるAIが、より大量に多彩な攻撃を延々と繰り出す未来が予見されます。世界有数のハッカーがAIに攻撃手法を叩き込み、AIが攻撃力を向上させ続けるマルウエアを作り続けたら、大きな脅威となります。人の想像を超える攻撃を繰り出し、現状のセキュリティー運用体制の継続では、アラートの波に飲まれた状態から抜け出せないかもしれません。
また、今のセキュリティー運用を縁の下で支えてきた人材がリタイアしたら、実は現状のセキュリティーレベルが運用メンバーの献身により維持されていたことに気付くかもしれません。献身的なセキュリティー人材のリタイアに伴う組織の防御力ダウンと、AIによるハッカーの攻撃力アップの均衡が保てなくなってからでは遅いです。そうなる前に、XDRをPoCするなど、検討を開始して欲しいと思います。
大切なのは、そこに守るべきビジネスがあるかどうかです。
(1)サイロ化されたセキュリティーの統合
本記事に関心を持つ読者の皆さまは、現状のセキュリティーで十分だろうか?という不安を感じておられるのではないかと思います。まず自組織で何種類のセキュリティーツールが使われているかを数えてみるなどの、セキュリティーの棚卸しから始めてみてはいかがでしょうか。
種類の数え方として例えば、MDM (Mobile Device Management)ツールはパソコンとスマートフォンで別ツールを使用している場合、セキュリティー市場は同一の1つでもツールは2種類と数えます。
私が参考にしている資料では、製品で約30、サービスで約20のセキュリティー市場に分類されており、30種類以上を利用しているというお客さまが多いのではないかと思います。
数多くのセキュリティーツールは防御ポイントを増やすとともにサイロ化につながっていきます。
ビジネスのデジタル化もサイロ化の要因になります。デジタル化が進めば、サービスごとにデジタル資産(データなど)が増え、それを守るセキュリティーツールがさらに増え、サイロ化が進みます。
例えば、AIを活用したビジネスを立ち上げた場合はいかがでしょうか。当然、AIを守るツールのニーズが出てきます。実際、どのセキュリティー市場にも分類されないAIのためのセキュリティーツールが世の中に生まれつつあります。
また、ビジネス部門が外部企業と協業するために、未認可のクラウドを部門承認で利用する場合はいかがでしょうか。そのクラウドが外部から攻撃されないと言い切れるのか、もしかしたらアタックサーフェスとなりうるのか、セルフチェックし続けられるでしょうか。外部からの攻撃可能性をチェックしたいニーズに応えるASM(Attack Surface Management)や脆弱性管理ツールも最近の流行の1つとなっています。
このようにセキュリティーツールが増える理由はさまざまで、ツールが増えればセキュリティーが向上すると考えるのが一般的です。ただ一方で、インシデント発生時に実際何が起きているのか追跡が難しくなったり、1つのツールで異常が見当たらないことで他のチェックが甘くなったりと、サイロ化による課題も同時に出てきます。近年ニュースになるセキュリティー事案も、さまざまなセキュリティーツールが入っていたにも関わらず発生してしまっており、しっかり個々のツールを運用できていれば防げたと考えています。
次項で述べるセキュリティー人材の不足を踏まえると、マンパワーで個々のツールを運用するのは現実的とは言えないため、XDRでセキュリティーを統合することをご検討いただきたいと思います。
(2)セキュリティー人材の不足をカバー
セキュリティー人材も例外ではなく、世界的にサイバーセキュリティー専門家が340万人も不足する一方、サイバーセキュリティー専門家の需要が65%も増加するという予測があります。
もう少し身近なところで、ユニアデックスが実施している「セキュリティー成熟度診断」の結果を集計すると、セキュリティー専任の担当者がいるお客さまは3社中1社の割合となっています。
セキュリティー人材の確保はやはり難しいのが実態と言えます。
参考:セキュリティー成熟度診断
競合に対抗するためのデジタル化戦略は今後さらに重要性を増すでしょう。そして、デジタル化とセキュリティー、セキュリティーとその運用はセットで考える必要があります。
主役はあくまでお客さまのビジネスとデジタル化戦略であり、セキュリティーとその運用は脇役です。主役に人員を集中したいと考えるのが普通で、脇役にまで人員を割けるお客さまは少ないでしょう。
脇役が主役を支える、つまりXDRがセキュリティーを支える良いサポート役を担わないと、デジタル化を進めるお客さまのビジネスが成功しないと考えています。
2.XDRの分類
次にXDRを出自別に分類します。
(1)Open XDR
メーカーを問わずに統合できるOpenなXDRです。もう少し具体的に表現すると、「EDRを自社製品に統一してください」といった、いわゆるベンダーロックインのないOpenなXDRです。既存のセキュリティー環境が1社のセキュリティーメーカーに統一されているお客さまは少ないと思うので、Open XDRは有力な選択肢です。
Stellar Cyberなどが候補となると思います。なお、Stellar Cyberは厳密にはNDR (Network Detection and Response)出自のようですが、XDRの開発はOpenに進められています。
(2)EDR出自のXDR
EDRとの親和性が高いEDR出自のXDRです。EDRと同一メーカーによるベンダーロックイン状態にはなりますが、筆者はXDRに取り込む要素としてEDRは必須と考えており、既にEDRをご利用中のお客さまがXDRに着手するなら、有力な選択肢です。
クラウドネイティブなEDRメーカーであるCrowdStrike、Cybereason、SentinelOneなどは、EDR以外のセキュリティーツールを問わないOpen XDRを提供しています。
(3)Managed XDR
最初から自社でXDRの設備を抱えるのはどうか、とお悩みの場合はManaged XDRという選択肢もあります。最近海外ではManaged XDRに注目が集まりつつあり、「MXDR」と略して表現されるようです。
そのMXDRの候補は、Secureworks Taegis XDRなどがあります。エンドユーザーのお客さまはさることながら、弊社のようにMSS(Managed Security Service)を提供する企業からの引き合いも多いそうです。自社でXDRを運営するのが難しい場合、MXDRとMSSの力を借りるのも有力な選択肢です。
(4)SIEM出自のXDR
SIEM( Security Information and Event Management )自体、元々Open志向でログを集約できるため、そこからXDRに進化したものがSIEM出自のXDRです。お客さまからのご要望が多いログの長期保存は元々SIEMが得意としていた機能です。一方、SIEMは正規化が大変でチューニングに労力がかかると言われてきました。このチューニングの大変さがXDRでどう改善されているかがポイントになると思います。
Exabeamなどが候補となります。
(5)番外編
XDRに注目が集まっていますが、1つで全てを解決できるマジックツール(≒魔法の杖)は残念ながら存在しないため、番外編としてXDR以外のツールも紹介しておきます。
具体的にはSOAR( Security Orchestration, Automation and Response )やSecOps( Security Operations )、SMP(SaaS Management Platform)などに分類されるツール群となります。これらのツールも、セキュリティーのサイロ化と人材不足を解決できる点でXDRと共通しています。
ツールの候補としては、Swimlane、ServiceNow、ジョーシスなどが挙げられます。3社とも直接お話を聞かせていただきましたが、いずれも他社製品との連携を前提にOpen志向で開発されています。仮に今は連携できなくても、今後連携できるよう開発する意欲をお持ちと感じました。有事のDetection & Response(検知と対処)はもとより、オペレーションの自動化にフォーカスする場合、有力な選択肢となります。
ここまでXDRを出自別に分類しました。
Microsoft、VMware、PaloAlto、Fortinet、Trellix、Trend Micro、Symantecなどのメジャー企業はどこに行ったのか、とご指摘を受けそうですが、他社製品を取り込むOpen XDRに対して、基本的に自社製品を取り込むNative XDRの傾向が強いため、あえて上記の分類に含めておりません。CiscoはもともとOpen志向でありながら、取り込める他社製品が少ない印象でしたが、Splunk買収により、Open志向のXDRの開発が今後大きく前進すると見ています。逆に、セキュリティー担当部門のリストラなど開発への投資を抑制するメジャー企業がいるのも事実のため、注意が必要です。
なお、Native XDRを提供するメーカーは、そもそも自社製品でカバー可能なセキュリティー領域が多いことが理由となっていると考えており、自社製品同士での連携面やサポート面の安心感は高いと言えます。
3.まとめ
今回、XDRを取り上げ、その出自によって分類しました。
お客さまの環境に合ったXDRを選ぶ際に、「出自が何か/その出自の製品が有する特徴が何か」を調べれば、そのXDRの特徴を掴みやすいはずです。
例えば、完全OpenなXDRは、その出自からEDRやNDRなどのメーカー縛りがなく、外部連携に強いのが特徴と想定できると思います。EDR出自やSIEM出自なども同様です。
それでも、机上の調査では限界があると思います。その時はぜひユニアデックスにご相談ください。月並みですが、机上で分からないことはPoCではっきりさせましょう。
XDRはさまざまなセキュリティーツールを統合する前提のため、異なるメーカー同士の連携やお客さまの環境に導入済み製品との統合など、特定メーカーに縛られるとPoCすら進められないケースがあると思います。
ユニアデックスはマルチベンダーを強みとし、自社/他社製品という縛りがありません。
ユニアデックスは、できる限り無駄なく隙間なく、商材を取り揃える取り組みを続けており、これまでの話と結び付けるなら、マルチベンダーソリューションを出自とするユニアデックスは、マルチベンダーで統合することを前提としたXDRの導入に向いていると自負しております。
ユニアデックスはインフラだけの会社ではありません。「ユニアデックスに任せれば、セキュリティーは安心だ」と皆さまからご評価いただけるよう、日々取り組んでいます。クラウドでもセキュリティーでも組み合わせに迷ったらユニアデックスまでご相談ください!
図3 最適な組み合わせから強いセキュリティーが生まれます。攻撃者はたった1つのピースの間違いを見逃しません。
佐藤 大介(さとう だいすけ)
ユニアデックス株式会社
マーケティング本部 戦略企画推進部 R&S推進室
関連情報
関連商品・サービス
関連ソリューション
関連コラム
お問い合わせ
お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。