Cisco Japan Blog
Share

SecureX を活用した XDR に対するシスコのビジョン


2021年10月29日


この記事は、Security Platform & Response の Senior Vice President & General Manager である Al Huger によるブログ「Cisco’s vision for XDR powered by SecureXpopup_icon」(2021/10/13)の抄訳です。

 

分断の解消

セキュリティチームは、脅威の拡大と環境の激しい複雑化という問題に直面していて、セキュリティの有効性はますます低くなっています。環境をシンプルにすべきと言うのは簡単ですが、多くの場合、実現するのは困難です。セキュリティチームは、かすかな兆候を信頼性の高いアラートに変換し、自信を持って対応できるようになる必要がありますが、この自信は、コンテキスト情報が環境全体から収集され、単一の画面で簡単に確認できるようになって初めて得られるものです。将来にわたってセキュリティの有効性を高め、迅速に対応できるようになるためには、容易に実行できる、オーケストレーションされた検出/対応機能が必要です。そのような機能によって、使用している製品の機能や人材の能力が強化されます。

ただ実際には、多くのアプローチでこれらの課題を解決できていません。一部のセキュリティチームは、SIEM や SOAR ソリューションを導入して分断された環境を統合し、アラートを減らして、クロス検出と対応を促進しようとしています。しかし、これらのソリューションは、それぞれのタスクにおいては非常に優れていますが、すべての組織で機能するわけではなく、いくつかの問題が伴います。たとえば、SIEM には可視化機能がありますが、対応時間を短縮するために必要なオーケストレーション機能や自動化機能はありません。一方 SOAR には自動化機能がありますが、コンテキストを相互に関連付けるのは難しく、豊富な専門知識が必要です。また、どちらも対応機能は組み込まれていません。大規模な企業では、これらのソリューションを長期間にわたって調整しながら維持していく余裕がありますが、リソースや時間に制約のあるチームにとっては不可能です。ほとんどの企業には、より使いやすく、すでに統合されたソリューションが必要です。

そのため、多くのセキュリティチームは、手間やコストをかけずにコンテキストを関連付けて可視化できる実用的なソリューションを求めています。Endpoint Detection and ResponseEDR; エンドポイント検出/対応)および Network Detection and ResponseNDR; ネットワーク検出/対応)ソリューションは、それぞれの対象領域で優れたセキュリティを実現する、利用しやすいソリューションです。しかし結局のところ、こうした取り組みを並行して実施しても環境の分断は解消されません。そのため、障害が発生してもセキュリティチームは問題を簡単に把握できず、あらゆる場所を保護できるようにはなりません。個別のソリューションをいくら並べても、統合されたエンドツーエンドの検出/対応アプローチを超えることはありません。

そこでここ数年、セキュリティベンダーは、セキュリティコンポーネントからデータを自動的に収集して関連付け、簡単に判断できるようにする、統合インシデント検出/対応プラットフォームの構築を開始し、これらの問題を解消しようとしています。2020 年に Gartner 社は、これらのソリューションを Extended Detection and ResponseXDR; 拡張検出/対応)プラットフォームと名付けました。

XDR の定義

新しい方法論やセキュリティ対策の場合、往々にして正確に定義すること自体が課題となります。XDR とはなにか、逆に、どんなものは XDR とは言えないかを定義することは、ここ数年、セキュリティ業界の多くのメンバーにとって悩ましい問題でした。一部のベンダーやアナリストは XDR について、Endpoint Detection and Response(EDR)や Network Detection and Response(NDR)をベースにしている必要があると主張しています。また別の人は、定義よりも、XDR を導入しているか、導入していないかの方が重要だと言っています。一部の企業やアナリストの間では、XDR の「X」の意味についてさえ意見が合っていません。「拡張」を意味すると言う企業もあれば、「クロス」がベースだと主張する人もいます。

このような状況においてシスコは、XDR 自体の内容と、それによってどのようなセキュリティ上の成果が得られるかについて詳しく知りたい方のために、この混乱を解消し、よりわかりやすい簡潔な定義を示したいと考えています。そのことを念頭に置いて、シスコにおける XDR の定義は、XDR に関する Gartner 社のリードアナリストである Peter Firstbrook 氏の以下の定義と一致しています。

「XDR とは、複数の独立したセキュリティコンポーネントからデータを自動的に収集して関連付けられる、統合型のセキュリティインシデント検出/対応プラットフォームである」

シスコは、この定義の最も重要な側面の 1 つが、「統一」という要素だと考えています。前述のように、セキュリティチームが直面している大きな課題は、分断された多数の製品をいかに連携して全体をカバーするか、そして、脅威を効果的に検出して修復するために必要なコンテキスト情報をどのように提供するかということです。効果的なセキュリティを実現するために、XDR プラットフォームは、以下を提供する必要があります。

  • 充実した統合コンテキスト情報:拡張性に優れたプラットフォームを利用して、シスコとサードパーティのソリューションが提供するテレメトリを相互に関連付けることで、セキュリティ運用を効率化できます。
  • 相互に関連した正確な検出機能:広範囲を可視化する機能と、多くの情報に基づいた多面的な検出機能を統合することで、より確実な判断ができます。
  • オーケストレーションされた迅速な対応機能:組み込みの自動対応機能により、セキュリティチームは、効率的かつプロアクティブに対応できます。

現在の市場では、多くのベンダーが XDR 機能をさまざまな方法で提供していると主張しています。新製品で実現しているもの、既存製品に機能を組み込んだもの、業界のパートナーシップを活用したものなどがあります。これらのソリューションとアプローチは、いつかは何らかの成果をもたらすかもしれませんが、セキュリティ機能を緊密に統合した環境は構築に時間がかかるため、前述した XDR の主要な機能を短期間で提供することは基本的にはできません。「ローマは一日にして成らず」ということわざがあるように、XDR も、構築と改善に時間がかかるプロセスです。ただし、お客様が XDR を導入するどの段階にいらっしゃる場合でも、シスコがお手伝いします。

シスコのアプローチ

XDR へのアプローチは、クラウドネイティブのプラットフォームである SecureX から始まります。SecureX がすべての統合の中心となります。SecureX はすでにシスコのセキュリティ製品に組み込まれていて、オープン API を使用してお客様環境内のソリューションと簡単に統合できます。また、どのセキュリティベンダーよりも多くのサードパーティ ソリューションと連携できます。現在、パートナーは 170 を超え、まだ増え続けています。そのためセキュリティチームは、既存のツールセットを廃棄したり置き換えたりすることなく、シスコまたはサードパーティ製のソリューションを自由に選択してプラグインすることで、XDR 機能を利用できます。

そうして検出機能と対応機能が統合されることで、すべての制御ポイントから収集したテレメトリが関連付けられ、アクションを容易に実行できるようになります。また、リスクベースのスコアが付与された高精度のアラートにより、インシデントに優先順位を設定できます。さらに、調査結果を一元的に確認できるため、根本原因の分析から適切な次のアクションの確認までがワンクリックで実現できます。オーケストレーション機能も組み込まれているため、対応が自動化され、定形作業の負荷がなくなります。そのためセキュリティチームは、工数を増やさずに、効果的なセキュリティをプロアクティブに実現できます。

またシスコは、最新の包括的なインテリジェンスによってすべての検出レイヤをサポートし、検出精度を向上させています。Cisco Talos は、どのセキュリティベンダーよりも優れた可視化機能を備えていて、すべての脅威媒体に対するアラートの精度と検出機能が強化されています。Cisco Secure の広範囲に及ぶポートフォリオと、シスコのお客様や製品から取得したテレメトリを活用することで、セキュリティチームは、最も包括的な脅威アセスメント機能をすぐに利用できます。

シスコは優れたテレメトリ機能も備えているため、お客様は、各セキュリティ製品からより多くの貴重な情報を得られます。お客様がソリューションを SecureX に接続すると、そのソリューションのデータが、ネイティブに統合された 2 億を超えるデータに基づくテレメトリと自動的に関連付けられます。このデータは、他のどのベンダーよりも充実しています。コストのかかるデータレイクを使用する必要はなく、Cisco Telemetry Broker などの製品と SecureX デバイスインサイトなどの機能を組み合わせることで、ファイアウォール、電子メール、エンドポイント、ネットワークなどの環境全体から収集したデータを、インテリジェントなインサイトに変換できます。そのインサイトを活用することで、セキュリティチームは検出結果を検証できます。

より優れた XDR の実現に向けて

シスコは、コンテキスト情報、検出結果の関連付け機能、迅速な対応機能により、今すぐ XDR の可能性を引き出します。SecureX は、現在市場で最も広く導入されている XDR ソリューションです。13,000 を超える組織がすでに、SecureX および Cisco Secure ソリューションとサードパーティ ソリューションを組み合わせて、XDR のメリットを享受しています。

セキュリティチームは、アラートの関連付けなどの手動タスクに費やす時間が短縮されるため、全体的なセキュリティ効率を向上させるための分析に集中できます。組織は SecureX を使用することで、セキュリティインシデントを迅速に検出、調査、解決できるようになります。また、より包括的なインサイトにより、データ漏洩のリスクを約 50%、データ漏洩のコストを 45% 削減できますpopup_icon

そして、これらの成果を最大限にする自動化ワークフローが組み込まれているため、手動での作業による問題が解決されます。つまり、レトロスペクティブ セキュリティとプレイブックに基づく自動化により、脅威の検出時間が大幅に短縮されるのです。実際、環境内でシスコの XDR 機能を使用しているお客様からは、検出時間が 85% 短縮されたという報告が寄せられています。検出時間が短縮されることで、チームは、脅威ハンティングのような、よりスキルが必要な特別のタスクに集中できます。

お客様が XDR アプローチの導入に着手されたばかりでも、現在の XDR プラットフォームをさらに高度なものにする方法を探している場合でも、シスコ チームは、XDR に対する統合アプローチの導入をサポートします。

その他のリソース

  • シスコが XDR eBookpopup_icon で現在提示している、すぐに利用できる XDR の 10 の使用例をご覧ください。

 

 

ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手してください。

Cisco Secure ソーシャルメディア

Instagrampopup_icon
Facebookpopup_icon
Twitterpopup_icon
LinkedInpopup_icon

 

Tags:
コメントを書く