原文のブログはこちらからご覧いただけます。
エンドポイント検知/対処(EDR)、拡張型の検知/対処(XDR)、マネージド XDR(MXDR)の間には、どのような違いがあるのでしょうか。そして、お客様の組織にとって、どのアプローチが最適解となるのでしょうか。
本ブログでは、これらのサイバーセキュリティ用語を整理することで、組織のセキュリティ体制を最も迅速かつ容易に強化できる戦略の洞察とアイデアをご紹介します。
エンドポイント検知/対処(EDR)
従来のサイバーセキュリティの焦点は、企業とその境界内のすべてを保護するというものでした。職場のコンピューターが物理的なオフィス空間に閉じられ、データセンターがオンプレミスにとどまっていた時代には、この方法でのセキュリティ対策は十分に実現可能でした。企業のファイアウォールが強力な保護機能を提供できていたためです。しかし、モバイルコンピューティングとクラウドコンピューティングがビジネスのあり方を変えたことで、境界ベースのセキュリティは大きな打撃を受けることになります。
2000 年代から 2010 年代にかけて、企業が利用するアプリケーションの多くがクラウドに移行しました。その結果、アプリケーションがオフサイトに置かれ、現場の IT チームによる管理の手が届かなくなりました。また、こうしたアプリケーションの関連データもクラウドに保存されることが多かったため、当時すでに旧式のものとなっていたファイアウォールの有効性はさらに低下しました。職場のテクノロジー環境も進化し、個人所有の持ち込みデバイス(BYOD)向けのテクノロジーとビジネスワークステーションが混在するようになりました。かつてのセキュリティモデルはいわば「中世の城」のようなものであり、侵入者への防御体制を敷くものでした。しかし、職場が無数のデバイス、ネットワーク、ユーザーでにぎわうオープンマーケットとなり、すべてのものが外部に直接接続し始めたことで、このモデルは破綻しました。
専門的な業務を複数のデバイスから実施でき、ほとんど場所も問わないとなると、生産性は飛躍的に向上します。しかし、従来型のサイバーセキュリティの考え方では散々な結果をもたらします。組織のリソースやデバイスがファイアウォールの外に出たことで、境界ベースの防御が通用しなくなったのです。サイバーセキュリティベンダーは差し迫った被害の兆候を見て取り、ファイアウォールからエンドポイントセキュリティに焦点を移しました。こうして、デバイスレベルで組織を保護することを目指したエンドポイント検知/対処(EDR)が注目されることになります。
EDR は各デバイスに追加のセキュリティレイヤーをもたらしましたが、事はそう単純ではありません。EDR の場合、組織内のセキュリティ運用をプラットフォームに一元化し、そこで各エンドポイントを管理・監視することになります。このプラットフォームは組織に属する専門のセキュリティアナリストが運用しますが、これにはスペシャリストによる 24 時間 365 日体制の保護が必要となります。また、これらのスペシャリストは優先度の低いアラートの選別に膨大な時間を費やしていることもわかっています。このようなやり方は費用がかさみ、スタッフの配置も困難です。サイバーセキュリティアナリストを必要としている企業の数は、その職種を志望する人材の数をはるかに上回っています。実際、サイバーセキュリティ業界は過去 5 年間、深刻なスキル不足に見舞われています。
EDR が直面しているもう 1 つの課題は、管理されていないデバイスが職場のリソースにアクセスすることが非常に多くなっている点です。企業が所有するすべての PC、ラップトップ、タブレット、スマートフォンを監視することは極めて難しい課題であり、従来の「城郭防御」型のサイバーセキュリティシステムでは対処しきれません。さらに現在では、従業員が個人的に利用する各種のテクノロジーもまた、未知のネットワークを介して企業にアクセスできるようになっています。こうなると、セキュリティを維持するのはさらに困難です。公私両用のデバイスが増加し、そこにサイバーセキュリティのスキル不足が相まったことで、多くの組織では効果的な EDR を導入することが極めて難しくなっています。
IT セキュリティチームの多くは、セキュリティインシデントおよびイベント管理(SIEM)を頼りに広範な脅威検知をサポートしようとしていますが、しばしば重大な課題に直面しています。この課題には、脅威の検知と対処におけるデータの取り込みにまつわる諸問題が含まれます。また、可視性が限られているか、複数の脅威ベクトルの相関が十分に得られていないか、あるいはその両方である場合には、問題がさらに深まる可能性があります。
拡張型の検知/対処(XDR)
悪事を働く脅威アクターがより新しく、より保護が手薄な攻撃経路を常に探し続けているため、サイバーセキュリティの状況は絶えず変化しています。EDR の限界が明らかになると、多くのセキュリティベンダーは XDR への移行を開始し、さまざまなソリューションからの脅威テレメトリを集約・分析することで、よりまとまりのある包括的な対処プラットフォームを構築しようとしました。つまり、セキュリティオペレーションセンター(SOC)のアナリストに対し、何十ものソリューションから個々のアラートを散発的に送りつけるのではなく、得られた脅威情報を整理し、文脈を把握できるようにすることを目指したのです。
EDR から XDR への移行は自然な流れではあるものの、XDR のアプローチを成功させるためには、依然として専任の IT 担当者またはサイバーセキュリティ担当者からなる社内チームが必要です。また、多くの CISO がセキュリティスタックを簡素化しようとしている中で、このアプローチはツールの乱立を助長することにもなります。
今日の組織では平均 76 種類のセキュリティツールが管理されており、これは運用を担当する IT スタッフの大きな負担になりかねません。このような事情から、サイバーセキュリティの次なる進化であるマネージド XDR が生まれました。
マネージド XDR(MXDR)
マネージド XDR は、SIEM の機能を拡張し、攻撃の特定と封じ込めに欠かせない高度な専門的人材とプロセスを提供することで、XDR プラットフォームによる全面的な保護機能を組織にもたらします。XDR に対応したセキュリティ運用を社内で実施する場合、長期にわたる人材確保やサイバーセキュリティ人材への高額な給与が必須となりますが、マネージド XDR ではこれらは必要ありません。マネージド XDR を利用する組織は、社外のサイバーセキュリティ脅威の専門家に 24 時間 365 日いつでもアクセスし、企業の監視、デバイス間のテレメトリの相関分析、および脅威を迅速に予防するための実用的なインテリジェンスの提供といったサービスを受けることができます。また、このアプローチは社内スタッフのアラート疲れを最小限に抑えることにもつながります。マネージド XDR は、ハイエンドのセキュリティソリューションと 24 時間体制のチームというメリットを、中小企業にも導入可能な価格で提供します。
AI の活用による高度な保護の実現
最先端の MXDR プラットフォームでは、高度な専門的人材が組織に提供されるだけでなく、人工知能(AI)の力も活用されています。一元化されたプラットフォームでエンドポイントを保護するというアプローチにはセキュリティ上の大きなメリットがありますが、ここには依然としてセキュリティギャップが存在します。たとえば、プラットフォームとの通信が途絶えたエンドポイントを考えてみてください。デバイスによっては、設定ミス、アップデートエラー、または接続の問題が原因で XDR プラットフォームから「脱落」することもあるかもしれません。XDR プラットフォームとの接続が損なわれた場合でも、すべてのデバイスを保護し続けることが重要です。
この問題に対しては、人工知能(AI)が優れた解決策を提供します。高度な AI に広範なデータセットを徹底的に学習させると、悪意のあるファイルと侵入の痕跡(IOC)を認識できるようになります。BlackBerry® の 第 7 世代 Cylance® AI は何十億ものファイルの特徴を学習しているため、99% の成功率で脅威を特定可能です。また、AI 駆動型のセキュリティエージェントをエンドポイントに直接展開するため、接続の状態にかかわらず、デバイスを常にマルウェアやその他の脅威から保護できます。このアプローチは組織に継続的なセキュリティという追加レイヤーをもたらしますが、これは多くの「クラウド専用」の XDR プラットフォームでは利用できないものです。
AI を活用したエンドポイント保護のもう 1 つの大きなメリットは、将来の脅威を阻止できることです。Cylance AI はマルウェアに共通する悪意ある指標を認識するように学習を済ませているため、ゼロデイの脅威を検知・予防する上でも極めて高い効果を発揮します。新たなマルウェアは驚異的な速さで生み出されていますが、マルウェアの動作を隠蔽および難読化する最新の手口にもかかわらず、世代が変わっても基本的な動作はほとんど変わっていません。現在と将来のマルウェアが採用する可能性のあるコードや、その動作、悪用手口、その他の機能のパターンを見抜くことにかけては、AI の能力は目を見張るものがあります。Cylance AI のエージェントをテストしたところ、2 年以上前から更新していない状態でも、最新の脅威を確実に検知・予防することができました。BlackBerry ではこの能力を予測優位性と呼んでいます。
マネージド XDR と予測型の AI は、エンドポイントからネットワークに至るまで、組織の環境に必要な人的および包括的なセキュリティを提供します。
マネージド XDR の進化とサイバーセキュリティの現状についての詳細は、2022 年版 BlackBerry® 脅威レポートをご覧ください。
- お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
- サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- FaceBook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
