近年、サイバーセキュリティの脅威は急激に拡大しており、セキュリティ対策にも新たなアプローチが求められている。しかし、多くの企業が導入しているSIEM(Security Information and Event Management)では、運用の手間やコスト、専門人材の不足などの課題が顕在化しており、効果的なセキュリティ対策が困難になっている。こうしたなか、脅威検知に特化し、運用が容易な次世代のセキュリティソリューション「XDR」(eXtended Detection & Response)に注目が集まっている。SIEMとXDRの違いと、XDRの優位性についてセキュアワークスの望月 学氏に話を聞いた。
SIEM導入で生じるコスト、人材、運用負荷の課題
近年、サイバーセキュリティ脅威の激化に伴い、企業のセキュリティチームが防御すべきデジタル環境もますます複雑化している。従来の境界型防御はもはや限界に達しており、企業は新たな対策を求められているのである。
「セキュリティにおいて新たなアプローチが求められている状況ではありますが、自社環境の『死角』や膨大なアラート件数、サイバーセキュリティ人材の不足、異種セキュリティツールの乱立などが、多くの企業にとって新たなセキュリティ施策を進めるうえで高いハードルとなっています」(望月氏)
セキュアワークス株式会社 ソリューション技術本部 セキュリティ エンジニア 望月 学氏
セキュリティ対策の一環としてすでにSIEMを導入している企業も多いが、実は運用フェーズにおいて多くの課題が生じているだろう。まず、運用面において検知ルールの見極めが難しく、誤検知や過検知が頻発する事態にも陥りやすい。検知フローを作り込むためのルールの設定や運用の手間も大きな負担となり、インフラの増強や新たな脅威に対応する際にも手間がかかってしまう。さらに、セキュリティ人材の不足と高いコストも問題となる。
「内製のSOC(Security Operations Center)を運営する企業の場合であれば、24時間365日の監視体制が必要となり、そのための人材育成も行わねばなりません。さらに、SIEMの運用精度を高めるためには多くのログを収集する必要があり、そのログを蓄積するためのプラットフォームのコストも無視できません。また、検知ルールも都度アップデートしなければ脅威の侵入を許すことになります」(望月氏)
SIEMの弱点を克服したXDR
このように、限られた人的リソースやコストの中では、SIEM運用と脅威からの防御には限界がある。では、日本企業はどのようにして増大するサイバーセキュリティ上の脅威に対応すれば良いのだろうか。そこで有効になるのが「XDR」(eXtended Detection & Response)のアプローチである。このアプローチにより、従来型監視ソリューションが脅威を「点」でしか捉えられないのに対して、XDRでは「面」で捉えることで、アラートの品質を向上させ、対応時間を短縮する。
「SIEMとXDRには利用目的と設計コンセプトの点で大きな違いがあります。まず前提として、SIEMはカスタマイズ性や柔軟性が高いがゆえに、脅威検知には最適化しておらず、運用が難しいツールです。そのため膨大な数の検知ルールの定義や実装に多くの時間とコストがかかるのです。一方、XDRはあらかじめ脅威検知に最適化された設計になっているため、検知フローに関わる時間やコストを考慮しなくてもよくなります。自社のIT環境からログを転送するだけで、すぐに脅威検知を開始するため人的負荷も大幅に軽減できます」(望月氏)
XDRであれば、SIEMのような過検知のリスクを最小限に抑えることが可能だ。一般的なテレメトリーログから脅威を識別するための労力がSIEMに比べてXDRは圧倒的に少なく、標的になりやすいIPアドレスやドメイン、パスワードなどを狙う脅威の最新情報も常にアップデートしている。さらに、多くのユーザーデータからAIで学習することで、より精度の高いアラート検知を実現している。
「クラウドベースのプラットフォームでは、ビッグデータを活用し、グローバルで最新の脅威検知に対する最適化が図られています。つまり使えば使うほど精度が向上する仕組みとなっています。」(望月氏)
XDRとSIEMの比較
多用なログをリアルタイムに相関分析する“面“での監視で包括的な可視化・脅威対応を可能にする「Taegis XDR」
このようにXDRは、今やすべての日本企業のセキュリティ対策に欠かせないソリューションだと言えるだろう。数あるXDR製品の中でも最適解となるのが、セキュアワークスが提供する「Taegis(テイジス)XDR」および、そのフルマネージドサービス(MDR)である「Taegis Managed XDR」だ。