コモディティ化しスピーディさを増すランサムウェアをはじめ、日本企業を取り巻くサイバーセキュリティの脅威は深刻化する一方にある。その対策として多くの企業がEDRの導入を進めているが、高度な脅威からの保護には限界がある。そうした課題の解決に有効な対策が、組織全体を“面”で捉えて監視環境を実現する「XDR」(eXtended Detection and Response)だ。また、セキュリティ人材や知識の不足からフルマネージドサービスにも注目が集まっている。XDRの必要性についてセキュアワークスのキーパーソンたちに話を聞いた。
EDR頼りのセキュリティ対策はもはや限界に
日本企業が直面するサイバーセキュリティ上の脅威はますます増大している。とりわけランサムウェアは一段と深刻化しており、警察庁の報告によれば2023年上半期だけで103件の被害が報告されているのに加えて、IPAが発表した「情報セキュリティ10大脅威 2024」でも「ランサムウェアによる被害」が4年連続で組織の脅威1位に位置づけられている。その背景の1つとして、RaaS(Ransomware as a Service)モデルの普及により、技術的スキルが低い攻撃者でも容易にランサムウェア攻撃を実行できるようになっていることが挙げられる。
こうしたサイバー攻撃の高度化・コモディティ化を受けて、企業側でもセキュリティ対策を強化しているが、導入するセキュリティ製品が増えるばかりで、製品ごとに異なるオペレーションを強いられているのが現実だ。セキュリティ担当者は、それぞれ複数の管理コンソールを抱えながら、アラートの多発や誤検知対応に追われてしまい、リソースやスキルの枯渇を招いてしまっているのである。
セキュアワークス株式会社 カウンター・スレット・ユニット(CTU) シニアセキュリティリサーチャー 玉田 清貴氏
「従来のセキュリティ運用では個別最適に重点を置いてきたため、全体としてのシステム連携に大きな課題がある事実が明らかになってきたのです。具体的には、EDRによるエンドポイント挙動監視、ネットワーク機器のアクセス、通信監視、そして昨今ニーズが増えているクラウド監視など、“点”で捉えた個別監視ベースであることが挙げられます。そのため、万が一セキュリティインシデントが発生してしまった際に、各製品のアラートを連携して分析することができず、迅速に対応して被害を最小化するのは極めて難しい状況にあります」(玉田氏)
このように、日本企業が導入しているセキュリティ製品は単独で機能するケースが主なことから、各製品間での連携が取れておらず、結果として組織全体のリスク管理に支障をきたしているのだ。実際、多くの企業がアンチウイルスソフトやEDRを導入しているにも関わらず、攻撃を検知しても適切な対応が行われていない傾向にある。
セキュアワークス株式会社 カウンター・スレット・ユニット(CTU) シニアセキュリティリサーチャー 中津留 勇氏
「こうした状況は、企業が『セキュリティ製品を導入すれば安全だ』と過信してしまい、アラートとして発生した事象のみを見てしまい、検知していない脅威の存在を考慮しないことに起因します。また、ログの量が膨大になるEDRやSIEM(セキュリティ情報・イベント管理)においては、誤検知が多発しすべてのアラートの確認・詳細分析が追いついていないのです。」(中津留氏)
さらに、EDRなどにより組織内の挙動は可視化できていても、攻撃方法次第では一部の被害状況しか追跡できず、「可視化されてはいても検知できない攻撃」も存在する。ログを消去するような攻撃や監視されているエンドポイントを介さない攻撃手法がその代表的なものだ。
「実際の攻撃で使用される戦術を用いてセキュリティ強度をチェックするRed Teamによるテストでも、既存のあらゆる製品の侵入に成功しています。攻撃者も製品を手に入れられるので、攻撃方法の検証が可能なわけです。このあたりが“点”で監視を行うEDRに依存した現状の対策の限界だと言えるでしょう」(佐藤氏)
セキュアワークス株式会社 セキュリティコンサルティング統括事業本部
セキュリティ診断事業部 事業部長(Red Team 総合プロデューサー) 佐藤 丈師氏
脅威を“面”で捉えて包括的に可視化・対応する「Taegis (テイジス)XDR」
では、日本企業はいかにして増大するサイバーセキュリティ上の脅威に対応すればいいのだろうか。そこでセキュアワークスが提唱しているのが、脅威を点ではなく“面”で捉えることで、アラート品質の向上と対応時間の短縮を実現する「eXtended Detection & Response」のアプローチである。