EDRをさらに進化したXDRとは?エンドポイント対策の最前線
ランサムウェアによる被害が各所で報じられる中、企業のセキュリティ対策におけるエンドポイントでの重要性がますます高まっています。そうした中で注目を集めているのがEDR(Endpoint Detection & Response)ですが、高度化する脅威に対して現在では、EDRを高度化した「XDR(eXtended Detection & Response)」の必要性が高まっています。XDRとはどのような概念なのか。これまでのEDRとはどのように異なるのかを解説します。
- ランサムウェア対策の最前線で注目を集めるXDRとは何か
- XDRの目標は「攻撃者のTTPsを検知し、素早く封じ込めること」
- 重要性を増すEPP+EDR。EDRとXDRの違いとは
- 「n+3+α」を実現する「Singularity XDR」
- XDRをマネージドサービスとして提供する「MS1」
ランサムウェア対策の最前線で注目を集めるXDRとは何か
コロナ禍の対応した働き方としてテレワークが広がる中でエンドポイントを狙ったランサムウェア攻撃やマルウェア侵害が増えています。テレワークでは端末が社内ネットワーク内にあることを前提とした境界型防御のアプローチでは限界が生じているためです。
そこで近年では、EDR(Endpoint Detection & Response:エンドポイント検知・対処)製品を導入して、従来行ってきたネットワークセキュリティに代わる保護機能をエンドポイントで実行していくことが求められています。現実的には、完全なテレワーク下で脅威に対抗していくためには、EDRしか手だてがないとさえ言われています。
しかし、EDRにも課題があります。それは検知した脅威情報をどう管理し、どう対処していくかなど運用負担が大きいということです。世の中に存在する多くのEDRは、単に導入するだけでは脅威検知の部分しか実現できず、発生したインシデントへの対応や脅威ハンティングの部分は、人手に頼らざるを得ないのが実情です。そもそもEDRの運用では脅威情報に関する大量のアラートが通知されるため、その対処だけでもままならないという状況があります。
そうした中で、従来のEDRの課題を解消するべく同ソリューションをさらに進化させたコンセプトが「XDR(eXtended Detection & Response)」です。SentinelOne Japanのセールスエンジニアの富田隆一氏は「XDRという言葉にはさまざまな定義があり、理解のされ方も異なります。XDRが何でありどのように脅威を対処するのかを正しく把握することが重要になってきます」と強調します。
以降では、ランサムウェア対策の最前線でどのような対策が講じられているかについてSentinelOneが提供するXDR製品の特徴と、その運用をアウトソーシングする東京エレクトロンデバイスのサービス「MS1」について解説します。
XDRの目標は「攻撃者のTTPsを検知し、素早く封じ込めること」
富田氏によると、XDRの目標は「攻撃者のTTPsを検知し、素早く封じ込めること」にあるといいます。TTPsとはTactics Techniques & Proceduresの略であり、その訳の通り、いかに攻撃者の戦略・技術・手順を検知できるかがカギとなります。
「 TTPsは、特定の攻撃者が使う手法を整理したもので、大まかな攻撃フェーズから個々のフェーズにおける詳細なテクニックを定義しています。テクニックの多くは複数の攻撃者により共有されることが少なくありません。攻撃の兆候をつかみ、より早く対処することが重要です」(富田氏)
これまでのアンチウイルスソフトは、ウイルスのパターンを識別し、「ワクチン」としての修正プログラムを適用することで、脅威に対抗する仕組みでした。しかし、パターンの識別は、ウイルスのファイルからハッシュ値を取得して行うことが一般的であり、ウイルスを少しでも改変すればハッシュ値が変わるため、容易に検知を回避されてしまいます。
「近年の脅威は、そうしたパターンマッチに対抗するために進化し続けています。ポリモーフィック、メタモーフィックなどのハッシュ値を変えて欺く技術や、ドキュメントファイルにプログラムコードを難読化して埋め込んで検知を欺く技術が一般化しています。また、直接マルウェアをファイルとして送り込むのではなく、端末内のPowerShellなどのOS標準のプログラムを悪用したり、パスワードを盗んで正規アカウントを悪用したりします。そのため検知技術側でもより進化が求められるようになっています」(富田氏)
また、最近ではサイバー攻撃を行うこと自体のハードルが下がっているといいます。「RaaS(Ransomware as a Service)やMaaS(Malware as a Service)のように、水面下では、高価で高度なものから安価で汎用的なものまで、さまざまなサイバー攻撃ツールが販売されており、攻撃者と開発者のマーケットが確立されている現状です」(富田氏)
重要性を増すEPP+EDR。EDRとXDRの違いとは
こうしたTPPsに対抗するために、近年では、AIや機械学習を用いた検知やTPPsのリアルタイム検知などの技術が登場しています。具体的には、正規の実行ファイルと比較して悪意ある実行ファイルを見分ける技術や、実際に動作させて振る舞いを見る技術(TTPsリアルタイム監視)、エンドポイントのイベント情報を収集後にTTPsを分析する技術などです。
「これらを総称して、『EPP(Endpoint Protection Platform: エンドポイント保護プラットフォーム)+EDR』と呼んでいます。EPP+EDRで、ファイルのスキャン及びエンドポイントの詳細イベント情報を収集・分析することで、ステルス性のある侵入者のTTPsを検知・特定します」(富田氏)
XDRは、こうしたEPP+EDRをさらに進化させた技術と捉えることができます。
「ステルス性のある侵入者のTTPsを、より確実に検知・特定するためにさまざまなセキュリティレイヤーからのイベントを統合して分析します。 例えば、エンドポイントだけでなく、ネットワーク、メール、クラウド、アイデンティティ&アクセス権管理(IAM)システムなどです。そこで観測されたさまざまな攻撃におけるTTPsやIOC(Indicator of Compromise: セキュリティ侵害インジケーター)の情報、サイバー脅威インテリジェンスなども効果的に活用します」(富田氏)
EDRとXDRの違いを考えるうえでは、主に以下の4つのポイントが重要になってきます。
(1)高速で拡張性のあるイベント分析エンジンを備えること
(2)AIエンジンのアシストによる相関分析の高度化が可能なこと
(3)カスタム検知・対応ルールの作成と展開が可能なこと
(4)対応を自動化できること
(5)追加で必要なセキュリティソリューションとの容易な連携が可能なこと
逆にこれらは、従来のEDR製品では十分に実現できなかった領域だといえます。
「n+3+α」を実現する「Singularity XDR」
上記の違いは「n+3+α」で表すこともできると富田氏は説明します。n+3+αとは、既存の数多くの脅威検知技術(n)、XDRのコアとなる3つの特徴(3)、対応の自動化(α)のことです。
既存の脅威技術には、EPP+EDRのほかにも、ファイアウォール、IAM、メール/Webセキュリティ、CASB(Cloud Access Security Broker)、SASE(Secure Access Service Edge)、CSPM(Cloud Security Posture Management)、IoTなどがあります。XDRの3つの特徴とは「分析データの集約」「データの相関分析(AIアシスト)」「インシデントレスポンス集中管理」となります。ここに「対応の自動化」というプラスαで加えることで、理想的なXDRソリューションを構成していきます。
「XDRは、脅威を早期に発見し、対応もスピーディかつ一貫して行える統合ソリューションです。良いXDRは、個々のセキュリティレイヤーにおいて、より優れたソリューションとの統合により、データ収集、相関分析、自動化された対応を実現します」(富田氏)
XDRを実現するための製品として、SentinelOneが提供しているのが「Singularity XDR」です。同製品は、エンタープライズ規模の可視性、強力な分析、自動化などのテクノロジースタックにより、SOC(Security Operation Center)の運用を強化し、エンドポイント、IoT、クラウドワークロードに対する高度な攻撃を阻止します。
「クラウド、コンテナ環境に対応し、自動化、リスクベースセキュリティ、SIEM(Security Information & Event Management)、サンドボックス、脅威インテリジェンス、ゼロトラストなどの手法を統合しながら、脅威ファイルの判定や、脅威行動の判定を行います。脅威を検知したあとも、画面上でボタンを押すだけで秒単位での復旧が可能です」(富田氏)
XDRをマネージドサービスとして提供する「MS1」
ここまで述べたSentinelOneのXDRソリューションを運用サービスとセットで提供しているのが東京エレクトロンデバイスです。独自のSOCサービスとして運営している「TED-SOC」では、ゲートウェイセキュリティから脆弱性診断、エンドポイントセキュリティ、SaaS/IaaSセキュリティまでを一貫して提供します。当社 セキュリティ&サービス技術部 木村雅人はこう話します。
「SentinelOneについても、お客様のさまざまなニーズに対応しています。インシデント対応・運用をすべて対応してほしいというニーズに対しては、マネージドサービ『Managed SentinelOne(MS1)』があります。また、インシデントのみの対応サービス、チケット制でのインシデント対応サービス、SOC導入支援サービスなども提供しています」(木村氏)
このうちMS1は、SentinelOne導入後のインシデント対応迅速化とセキュリティ運用最適化を支援するサービスです。専門部隊による監視・分析、検知から対処まで一貫したインシデント対応を行うほか、お客様環境に最適な設定チューニング、リスクアセスメントレポート、24時間365日 の問い合わせ受付を行います。
例えば、専門部隊による監視・分析では、エンジニアがアラートメール監視とAPI監視を組み合わせて冗長監視を行います。API監視によりアラートメールでは検知できない特定のアクティビティ監視が可能です。
また、インシデント対応では、ログ調査、正検知/過検知の切り分け、ファイルの隔離/端末の切り離しといった対処、ホワイトリスト/ブラックリスト登録などを実施します。調査はログ解析、ツールによる構造解析、動的解析、証跡調査などをリモート環境から実施し、インシデント検知から対処までをスムーズに対応します。
社会情勢の変化や働き方の変化にあわせて、エンドポイントでの迅速な脅威検知はますます求められている状況です。SentinelOneと東京エレクトロンデバイスでは、企業が新たな脅威に対抗できるよう、XDRソリューションの展開と導入支援に力を入れています。
