XDR 2022.05.18

「XDR」とは何かセキュリティ専門家のいない企業でも高度な脅威検知を実現

本記事のサマリ

サイバー攻撃は年々高度化、巧妙化しています。アンチウイルス製品や境界防御による多層防御、EDRやNDRによる脅威の検知といった具合にさまざまな対策を実施してきたにもかかわらず、脅威の全体像がつかめず対応に右往左往したり、日々のアラートの多さにセキュリティ運用の負荷が高まるばかりといった課題が山積しています。そんな課題を踏まえ、機械学習技術を生かし、高度な脅威検知を実現しつつ、過検知対応など運用負荷の軽減を図るソリューションが「XDR」です。

3行でわかる本記事のサマリ

近年のサイバー攻撃は高度化し、手口も巧妙化しており、従来の対策手法では十分な防御が困難になっている。
EDRとNDRは侵入を前提に検知を行う手段として注目されているが、新たな攻撃手法に対応するためには知識と経験が必要となる。
XDRはEDRとNDRを統合し、さらに複数のセキュリティデータを集約・分析することで包括的な脅威検知を実現するソリューションとして注目されている。

1. 課題

サイバー攻撃は年々巧妙化し、増加し続けています。2000年代前半はまだ、愉快犯的なサイバー攻撃も少なくなく、ウイルスやマルウェア（悪意あるソフトウェア）の特徴を元にした「定義ファイル」と照らし合わせることで検知・ブロックする「ウイルス対策ソフト」によって防げる攻撃が大半でした。しかし近年、金銭を手に入れることを目的にした犯罪グループや、他国の国家機密・企業機密の窃取を狙った国家、あるいはそれに近い組織がサイバー攻撃を手がけるようになるにつれ、手口はどんどん高度化しています。

たとえば、既知のマルウェアを使い回すのではなく、少しだけ手を加えた亜種を活用したり、未知のマルウェアを使う手法はもはや一般的です。こうした手法を使われると、機械的に照合するタイプの対策ソフトではすり抜けが多発してしまいます。また、再び猛威を振るっている「Emotet」でもおなじみの、知り合いをかたったメールを送りつけて人間をだます手口も盛んに使われ続けており、対策はますます困難になっています。

こうした現状を踏まえ、2014年にまとめられた米NISTの「サイバーセキュリティフレームワーク」のように、特定・防御によって脅威の侵入を予防するだけでなく、侵入はあり得るという前提の元、脅威の検知・対応・復旧も含めたプロセスにも力を入れるアプローチが注目されるようになりました。仮に既存の手段では防御が難しい攻撃に狙われても、侵入後、社内に侵害が広がり、データの暗号化や情報の持ち出しといった致命的な事態に陥る前に気付いて対処することで、被害を最小限にとどめようという考え方です。これは、近年注目されている「ゼロトラストセキュリティ」においても、重要なコンセプトの1つとなっています。

XDR 1.png

2. 検知にフォーカスして登場した「EDR」と「NDR」が抱える課題

侵入を前提に検知を行う手段としてこの数年注目を集めてきたのが、EDR（Endpoint Detection and Response）とNDR（Network Detection and Response）と呼ばれるソリューションです。

エンドポイントのセキュリティ対策としては、アンチウイルス製品や、定義ファイルに頼らず振る舞いベースで防御を行う次世代アンチウイルス（NGAV）が代表的な存在となっています。これに対しEDRは「侵害はあり得る」という前提に立ち、クライアント上で動作するプロセスや実行されたコマンドの履歴を収集、分析し、攻撃の恐れが高いと判断すればアラートを発することで、防御をすり抜けてきた脅威を検知します。中には、NGAV機能を統合したソリューションも存在しています。

NDRは、ネットワークを流れるトラフィックやログを収集・分析することに特化したソリューションです。ファイアウォールやIDS/IPSのような防御ツールとは異なり、不正な通信を止めるのではなく、ネットワーク内の挙動を包括的に可視化し、不審な挙動を検知してアラートを送ります。

PCなどはEDRで深く挙動を監視しつつ、IoTデバイスのように後からエージェントの追加が困難な機器はNDRで網羅的にカバーを行い、このEDRとNDRの2つを組み合わせることで、システム全体の監視が可能になります。

しかし、サイバー攻撃と防御はいたちごっこと言われるとおり、攻撃者はこうした対策もさらに見越し、高度化した手段を用いています。

その一例が「ファイルレス攻撃」です。ウイルスやマルウェアといった実行ファイルを直接使うのではなく、メモリ内に常駐して攻撃を行います。具体的には、無害に見せかけたOfficeファイルに仕込んだマクロを通して、ターゲットのWindows OSに標準で搭載されているツール、たとえばPowerShellを不正に操作して攻撃を行うのです。一連の動きは、外部から見れば正当なユーザーによる通常の作業に見えるため、検出は非常に困難になります。しかも、メモリ上で動作するため、再起動すると痕跡が残らず、調査も困難です。

こうした攻撃を見つけるため、EDRでアラートを発する基準を調整すると、今度は従業員が通常の業務をしているだけなのにアラートが多発し、運用担当者が過検知に追われることになりかねません。EDR/NDRを導入した後、過検知を排除しながら運用し、アラートを突合しながら「何が起きているのか」を突き止めて対応していくには、セキュリティに関するかなりの知識や経験が必要となっているのです。

しかも新型コロナウイルスの感染拡大を機に、テレワークやクラウドサービスの活用も一気に広がり、企業のIT環境は大きく変化しています。かつてのように社内にあるリソースだけを監視すればすむ時代は終わり、社外に持ち出されたPCやクラウド環境で活用されるデータの行き来も視野に入れ、運用監視を行う必要があります。オンプレミスとクラウド、リモート環境にまたがって運用を行い、全体像を把握しなければならないという新たな課題も生じているのです。

XDR 2.png

3. 複数のソースからデータを集約し、機械学習を用いて自動的に解析するXDR

防御だけでなく、インシデント対応の重要性に気付いてEDR/NDR、あるいはログの統合管理を行うSIEMを導入したり、CSIRTを整備してみたものの、手が回りきらないと感じる企業は少なくないはずです。この状態を打破するには、攻撃者による侵害活動をより包括的に把握できる手段が必要です。それも、セキュリティに関する専門的な知見が少ない担当者でも簡易に運用できる手段でなくてはなりません。その有力な解の1つが、XDR（Extended Detection and Response）です。

前章で説明したとおりEDRとNDRは、それまで把握できていなかった社内の脅威や侵害活動を検知できる手段を提供してくれました。しかし、それらが発する多くのアラートの解析・調査には、かなりの知見・専門知識が必要で、工数もかかるが課題となっています。

また、端末だけ、あるいはネットワークだけ見ていても攻撃の全容をつかむことは困難です。何らかの手段で従業員の端末に侵入した後、社内ネットワークを調査し、より重要な情報が格納されたサーバ・システムに横展開（「ラテラルムーブメント」と呼ばれる）し、機密情報を盗み出していく攻撃の一連の流れを把握するには、EDRやNDRはもちろん、他のセキュリティ製品から収集した複数のログを突合して分析する必要があります。

XDRはまさにそうした役割を果たすソリューションです。エンドポイントから得られる情報に加え、ネットワークおよび複数のセキュリティ製品からのアラートやログを集約し、関連付けながら分析を加えることで、脅威をより正確に検知します。Gartner®では「XDRは、複数のセキュリティ予防、検出、対応コンポーネントからのデータとアラートを統合、関連付け、コンテキスト化するプラットフォームです。」¹と定義しており、EDR/NDRやSIEMといった既存のソリューションの運用に困難さを感じているセキュリティ運用チームにメリットをもたらす存在だとしています。

1.Gartner, Market Guide for Extended Detection and Response, Craig Lawson, el al., 8 November 2021
GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.

XDR 3.png XDRは、主に2つの要素から構成されます。

1つは、データのソースとなるセキュリティセンサー群です。EDRやNDRはもちろん、ファイアウォールやIDS/IPS、メールゲートウェイといったセキュリティソリューションやActive DirectoryやIDaaSといった認証基盤が該当します。さらには、CASB、SWG、CWPPといった、ゼロトラストを構成するクラウドベースのセキュリティソリューションから得られる情報も含まれていきます。

もう1つは、収集したアラートやログを集約するデータストアおよび解析エンジンです。アラートやログといった情報を貯めておくデータレイクと、機械学習（ML）によって高度な解析を行う検知エンジン、対応の自動化を行うオートメーション機能などが含まれています。また、より詳細な分析を支援する外部の脅威インテリジェンスのほか、調査・対応を支援するワークフロー、オーケストレーション、他のセキュリティソリューションと連携するAPIなども含まれます。

市場にはさまざまなニーズがあり、「これらすべての要素をそろえていなければXDRとはいえない」というわけではありません。ただ、XDRの鍵となるのは、機械学習をベースとした検知エンジンです。このエンジンが複数のソースから収集した情報を相関分析して、より高い精度で脅威を検知しつつ過検知を減らし、インシデントの全体像を可視化していきます。ひいては、セキュリティ運用の負荷を軽減していくポイントと言えるでしょう。