XDRの取り扱いを始めました
サイバー攻撃から身を守るための様々なセキュリティ製品がありますが、本日はXDR(Extended Detection and Response)について説明いたします。
XDR(Extended Detection and Response)とは?
EPP(AV)、NGEPP(NGAV)はウイルスの侵入自体を防ぐ製品です。一方、EDR、XDRはウイルスに侵入されることを前提として、侵入された後の感染経路や被害範囲を特定して対応する製品です。
本来であれば、 EPP、NGEPPによってサイバー攻撃を入口時点で100%未然に防ぐことが理想ですが、サイバー攻撃が高度化したことでウイルスがすり抜けてしまうケースが発生し、侵入を完全に防ぐことは難しくなりました。
そこで、ウイルス侵入を前提とした対策としてEDRが登場しました。EDRは、内部ネットワークに侵入されても最終的な被害が発生する前に脅威を検知して対応し、エンドポイント(PCなど)を守ることができます。
その後、エンドポイントのみではなく、ネットワーク、アプリケーション、サーバー、データセンターなど複数のレイヤで、組織内に入り込んだマルウェアなどの脅威を自動検出し、分析して対処することができるXDRが登場しました。
XDRのセキュリティ機能
XDRは、外部からの攻撃だけではなく内部不正も検出して自動対応が可能です。
ここでは、XDRの3つのセキュリティ機能を紹介いたします。
機能① 情報収集
エンドポイントだけではなく、ネットワーク、アプリケーション、サーバー、データセンターなど複数のテレメトリーソースからセキュリティイベントのログ情報を収集する機能です。1つの機器からのログでは検出できない脅威であっても、複数の機器からのログを統合して相関分析することで見つけ出せる場合があります。
様々なテレメトリー情報(※)からの収集後、マルウェアの侵入、内部ネットワーク、SaaSサービスなど情報システムのセキュリティ攻撃を可視化します。
機能② 外部/内部の脅威の検出
可視化されたテレメトリー情報を相関的に分析し、根本原因となるインシデントを検出して、サイバー攻撃への脅威を特定する機能です。アラームを発出することで、迅速な対応が可能となります。
また、XDRは外部脅威だけではなく内部からの脅威にも対応します。たとえば、下記のようなユーザーのログ情報を分析し、リスクスコアを計算して内部不正を検出した後、アラートを発出します。
・不自然な時間帯の利用
・不自然な場所からのアクセス
・大量のデータを外部へアップロード
機能③ 自動対応
事前に設定したルールやAIを用いて、脅威を封じ込める機能です。自動対応するため、ウイルスが活動する前に封じ込めが完了します。
テンプレートとしてルールが提供されているXDR製品では、ご自身でカスタマイズして利用可能です。
また、ユーザーを横断して脅威を学習し、最新の攻撃パターンに対応するAIを搭載している製品もあります。
※テレメトリー情報:メールやエンドポイント、サーバ、クラウドワークロード、ネットワークなど特定のセキュリティソリューションによって収集されたデータ
CiscoのXDRについて
様々なメーカーがXDR製品を販売していますが、ここではCiscoのXDRについて簡単にご紹介いたします。
CiscoのXDRは、上記で記載した3つのセキュリティ機能を網羅しているうえ、セキュリティの次世代施策に求められる
2つの特長があります。
特長① クロスドメインテレメトリー
他社のセキュリティ製品で検知したインシデントもアラーム通知が可能です。
特長② AI・機械学習
金銭的な被害リスクをベースとした独自のアルゴリズムで、インシデントの優先付けをすることができます。
また、無償でTalos Feed(脅威に関する情報が提供されます)を活用できます。
まとめ
XDRの概要について大まかに説明しましたが、いかがでしたでしょうか。
なお、CiscoのXDRの製品ページについては、近日公開予定です。
|
ご相談・お問い合わせ |
 |
