多様な脅威を一元的に監視するCortex XDRのNDR向けMSS提供を開始

企業や団体においてセキュリティ対策の重要性が周知され、様々な組織でIDSやIPS、Firewall、EDRといったセキュリティ対策製品が運用されています。

しかし、ランサムウェア等による被害は拡大傾向となっており、これまでの境界防御やエンドポイントセキュリティ等を用いてネットワーク上で個々に脅威が無いかを監視するだけでは、最新の攻撃を防ぎきるには不十分です。

そこで、ネットワーク上の脅威を統合的に監視し、未知の脅威を発見する次世代のソリューションとしてXDRが注目されています。ラックではパロアルトネットワークス社のCortex XDR向けマネージドセキュリティサービス（MSS）の提供を開始しました。

この記事では、XDRと新サービスであるXDR向けMSSについて説明していきます。

XDRとは

XDRとは「Extended Detection and Response」の略称で、2018年にパロアルトネットワークス社のNir Zuk氏によって作られた名称です。フォレスター・リサーチではXDRを次のように定義しています。

脅威の検出、調査、対応、ハンティングをリアルタイムで最適化します。XDRは、セキュリティ関連のエンドポイント検出を、NGAV、電子メール セキュリティ、IDおよびアクセス管理（IAM）、クラウド セキュリティなどのセキュリティ ツールおよびビジネス ツールからのテレメトリと統合します。

※ 参考 Introducing The Forrester New Tech: Extended Detection And Response (XDR) -- A Battle Between Precedent And Innovation

なぜXDRが必要なのか

これまでのセキュリティソリューションは、ネットワークの境界の監視や、サーバや端末といったエンドポイントの保護など、ネットワークにおける特定のポイントのみを対象としたソリューションでした。そのため運用者は、インシデントの発生時においてはそれぞれのソリューションを個別に参照し、収集した情報を人の手で統合してインシデントの全体像を把握するといった作業が必要となっていました。

例えば、IDSやIPSは主にインターネットとの境界に設置される監視装置です。これらは外部から内部への攻撃を監視する目的で使用されるため、内部ネットワークへ侵入されてしまった後に内部ネットワーク内で行われる不審な活動を基本的に検知できません。同様に、NGAVやEDRはエンドポイントで発生するマルウェアや不正操作を検出することができますが、ネットワーク上でどのような活動が行われているか検出することはできません。

このように、これまでのソリューションでは、単一のソリューションだけでは攻撃活動の全貌を把握することができませんでした。

また、様々なアラート情報が統合されることで、これまでは監視対象ごとに別の部門が対応していたアラート対応をつなぎ合わせ、攻撃全体を把握したうえで効果的な対応を行えるようになります。

Cortex XDRとは

Cortex XDRはパロアルトネットワークス社より提供されているXDRソリューションです。同社はセキュリティ業界の中で初めてXDRの提供を開始しました。Cortex XDRには以下の機能が含まれています。

• EPP
• EDR
• NDR
• UEBA
• サンドボックス

EPPやEDRのエージェントやNDRのセンサー等から収集された情報は、クラウド上のXDRサービスに集約され、自動的に分析されます。分析時に自動的にアラートが関連付けされるため、関連するひとまとまりのアラートとして対応ができます。

NDRを利用するためには監視対象のネットワークにセンサーを設置する必要がありますが、すでにパロアルトネットワークス社の次世代ファイアウォールであるStrataシリーズや、SASEソリューションのPrisma Accessを利用中であり、必要なログの収集ができている場合は、それらのログをCortex XDRに取り込んで分析できるため、既存ネットワークを変更することなく導入が可能です。

また、新規に導入が必要な場合でも、TAP構成での導入も可能なため既存ネットワークへの影響が発生しません。NDRの運用には各エンドポイント機器へエージェント等の導入は不要です。

NDR導入の最大のメリットは、これまで監視が困難だった内部ネットワークの監視が可能になるという点です。近年のサイバー攻撃では、外部からの攻撃だけではなく、ランサムウェア等が内部に侵入した際に横展開をして侵害範囲を広げる「ラテラルムーブメント」と呼ばれる手法が多く使用されています。そのため、被害防止には境界防御だけではなく、内部での不正通信の監視能力も必要です。

さらに、内部通信を監視することで、内部不正を発見しやすくなります。例えば、組織の管理対象でない端末を内部ネットワークに接続した場合や、内部からの不正ログインの試みといった異常行動を検知できます。これにより、内部に存在する脅威を早期に発見することで、被害の発生や拡大前の防止ができるようになります。

ラックが提供するMSS

Cortex XDRに対し、ラックのセキュリティ監視センターであるJSOCがMSSの提供を開始しました。ラックはこれまで20年以上に渡り、お客様のネットワークに対する攻撃の監視サービスを提供してきました。その知見を活かし、Cortex XDRのNDRにより検出された脅威に対して、ラックが分析・調査の支援を提供します。

Cortex XDRでは高度に自動化されたアラート分析機能が提供されていますが、実際の影響範囲の調査や対応についてはお客様にて調査が必要となります。この調査をラックのJSOCでサポートし、検知範囲の拡大や検知対応の高速化を実現します。

本MSSは、パロアルトネットワークス社の次世代ファイアウォールやPrisma Access向けの弊社MSSと連動してサービスを提供することで、組織外からの攻撃検知だけでなく組織内部の不正通信を高精度に検知できるようになり、これまで可視化されていなかった領域の脅威情報が確認可能となります。

さらに、インシデント発生時にラックの担当者がお客様の代わりに攻撃を遮断するオプションサービスもあります。これは影響の拡大を早期に防ぐことを目的としています。

最後に

セキュリティソリューションの進歩により様々な脅威の検出と抑止が可能となりましたが、一方で最新の脅威の検出と影響範囲の把握には複数のソリューションからの情報を横断的に調査・分析する必要があります。しかしながら、このような調査には担当者に高いスキルと多大な時間が必要となり、業務負荷が高くなってしまいます。

XDRソリューションであるCortex XDRを使用することで様々なセキュリティデバイスのログを統合して分析することが可能となり、アラートの関連付けも自動的に行うことが可能となります。そこに弊社のMSSを導入いただくことでネットワーク上の脅威の調査分析をアウトソースできるほか、弊社の知見を活かして検知できる脅威の範囲を拡大するお手伝いが可能です。

Cortex XDRの導入につきましても弊社からサポートが可能ですので、セキュリティソリューションの一元管理と統合分析をご検討の場合は、ぜひご相談ください。