統合セキュリティソリューション
2024年5月15日
今年5月にサンフランシスコで開催された、セキュリティに特化したイベント”RSAコンファレンス”は、今回で33回目の開催となり4日間で世界各地から約41,000人の参加者が、650の講演や600以上の展示ブースを目当てに訪れた。最近、サンフランシスコの治安問題が取り立たされているが、この4日間は久しぶりに以前の活気のあるサンフランシスコを見たような気がする。昨年のRSAコンファレンスでは、”AI + セキュリティ”の話題が注目され始めたが、今回各ブースを見ていると、すでにAIを利用したセキュリティソリューションが前提となっている感があった。昨今、AIを悪用した攻撃が増えており、それに対抗するにはやはりAIを利用した防御が必要不可欠なことから、サービスやソリューションを提供する企業各はこの1年で大幅にAIによるセキュリティ強化を進めてきたことがよくわかる。このRSAコンファレンスの開催意義として、セキュリティ専門家がプロジェクトを安全に遂行できるよう、また日々同じ課題に対処している人々の情報交換の場なっている。
セキュリティと一口で言っても、その対象範囲はネットワーク、アプリケーション、データ、デバイス、個人認証等々、膨大である。ここで統合化されたソリューションとしてキーワードとなっているのが、SIEMとXDRでないかと思う。
SIEM (Security Information and Event Management):
2005年にガートナーにより提唱されたSIEMは、Security Information and Event Management (セキュリティ情報とイベント管理)の通称で、ルーターやスイッチなどのネットワークデバイス、サーバー、ファイヤーウォールなどウィルス対策ソフトウェアなどのセキュリティデバイス、およびアプリケーションなどのイベントデータを収集、集約、リアルタイムで分析して、ダッシュボードで可視化するものである。脅威となりうるものを検出した場合、セキュリティ担当者にアラートを発する、あるいは異常なアクティビティを一時停止する機能などを有する。また、AIの活用により、脆弱性と潜在的な脅威をより詳細かつ正確に把握できる高度な分析、セキュリティを向上させるための実用的な推奨事項の提供などが可能となる。
XDR (Extended Detection and Response):
一方のXDRは、Extended Detection and Response (拡張検出および対応)の通称で、その前身とも言えるEDR (Endpoint Detection and Response、エンドポイント検出および対応)から進化し、脅威の検出、対応、緩和に対する包括的かつ統合的なアプローチを提供することで、サイバーセキュリティのパラダイムシフトを実現する。2018年ころからこの用語が使われ始めたので、比較的新しい概念である。XDRの利用で、エンドポイント、ネットワーク、クラウド環境、アプリケーションなど、組織のITシステム全体にわたる複数のソースからこれらの多様なデータを照合および相関させることで、セキュリティチームが潜在的な脅威を包括的に把握できるようになり、気付かれない可能性のある高度な多段階攻撃を正確に特定し、脅威の特定から対処までの時間を大幅に短縮する。従来のセキュリティ対策では、複雑化した高度な攻撃に追いつくことは困難となっていたが、XDRは、セキュリティデータを統合し、リアルタイムの分析、脅威の検出、迅速な対応を可能にすることで、これらの攻撃に対応する。
SIEMもXDRも、ともにデータを収集、相関、分析してコンテキストに応じた脅威認識を実現する点で似ているが、SIEMはログ集計、調査対応をメインに設計されているのに対し、XDRは応答をインテリジェントな方法で自動化するように設計されている点で異なる。
どちらもセキュリティ担当者を有するエンタープライズでの利用が主であるように見えるが、自動的に脅威の検出および迅速な対応が可能なXDRは、実はリソースの限られる中小規模企業での利用にも適している。その例として、AIを活用し、SaaSアプリ内での自動攻撃阻止機能を強化したMicrosoft Defender XDRやCrowdStrike Falcon® XDRがある。
Microsoft Defender XDRは、企業全体のセキュリティを監視および管理できる統合されたエクスペリエンスだ。 ID、エンドポイント、データ、アプリ、電子メール、コラボレーション ツール間で一貫したアラートを使用し、脅威の調査と対応までを一元的に行うことが可能となった。業務に欠かせない他のMicrosoft 製品やAzureクラウド環境との相性もいいことから、今後のセキュリティ対策として浸透していくことが予測できる。
CrowdStrike Falcon® XDRは、機械学習と人工知能を用い、既知および未知のマルウェアとランサムウェアを検知するEDRをベースに機能を拡張し、ユーザー端末に影響を与えることなく、ネットワークやメール等を含む企業全体をリアルタイムで可視化し、包括的に監視・保護ができる。
従来のセキュリティ対策では、対応できなくなってきている昨今の状況を踏まえ、企業規模に関わらず、XDR等の導入検討を進めることを推奨したい。