Cisco XDR のご紹介
皆さまこんにちは。シスコでセキュリティを担当する木村です。
このコラムでは、2023 年 7 月より提供を開始した、Cisco Security Cloud 構想に紐づく新ソリューション Cisco XDR についてご紹介します。
現在の複雑化したセキュリティ課題を解決し、ビジネスレジリエンスを実現する画期的なソリューションです。
そのベネフィットを、ぜひご一読ください。
全体像を解説する「シスコの考える新時代のセキュリティ 〜Cisco Security Cloud のご紹介」も併せてお読みください。
XDR とは?
XDR とは、「Extended Detection and Response」の略称です。シスコでは、本製品の開発にあたり、多くのお客様に必要な XDR の要件についての大規模なアンケート調査を行いましたが、普遍的、共通的な定義でまとめることはできないとの結果になりました。この分野の初期ベンダー各社が、自社製品の差別化を強調するメッセージを市場に流したことにより、混乱が生じているようです。
その中で、IDC による以下の XDR の 3 つの定義がもっともシンプルで明確です。
- 複数のソースからテレメトリを収集する
- 収集したテレメトリにアナリティクスを適用して悪意を検出する
- 悪意への対応と修復を行う
そして、シスコは XDR の定義にこだわるのではなく、XDR はどのようなビジネスニーズを満たすものであるべきか?が重要であると結論付けました。それは、以下の 5 つの項目です。
①早期検知
もっともリスクにさらされている場所は?そして、攻撃を早期に発見する能力とは?
②影響度による優先付け
ビジネス影響の大きいインシデントを優先的に対処しているか?
③調査時間の短縮
攻撃の全容や侵入経路をどれだけ早く把握できるか?
④レスポンスの加速・自動化
対応できるスピードは? 自動化の範囲は? SecOps が改善されているか?
⑤アセットの可視化
すべての資産が可視化できるか? デバイスおよび利用者を特定できるか?
XDR は、エンドポイントのテレメトリ、ネットワークのテレメトリ(クラウドとオンプレミス)、アプリケーションのテレメトリ、そしてアイデンティティを組み合わせることで、ポイント製品が単独では検出できない環境の脅威を検出できるようにすることを目的としています。
XDR におけるシスコの優位性
シスコはこの分野に進出することを決定する前に、この業界には未解決の問題があるのか?もしそうだとしたら、シスコはほかの誰よりもその問題を解決できるのか?を考えました。
シスコは、この 2 つの質問に「Yes」と答えることができます。
前述の通り XDR は「複数のソースから収集するテレメトリの集合体」という側面があります。シスコのポートフォリオは、アナリストや SOC 部門が「XDR ソリューションに必要」とする、エンドポイント、ネットワーク、ファイアウォール、メール、アイデンティティ、DNS の 6 つすべてを、ネイティブでカバーできます。
これら 6 つのテレメトリソースすべてにネイティブにアクセスできる XDR ベンダーは、シスコ以外には存在しません。シスコなら、このネイティブなテレメトリをすべて分析し相関させることで、ステルスでの動作でポイントソリューションを回避するような洗練された攻撃者も、検出することが可能です。
Cisco XDR とは
ここからは、Cisco XDR の提供する機能およびメリットをご紹介します。
Cisco XDR は、
- ネットワークとエンドポイント全体に対する深い専門知識と可視性を、リスクに基づく単一のターンキーソリューションに集約。
- インシデント調査を簡素化し、SOC が脅威に速やかに対応、修復することを可能とします。
- 解析により検出項目の優先付けを行い、最優先のインシデントをエビデンスに裏打ちされた自動化機能により修復します。
従来のSIEM(シーム:Security Information and Event Management)がログ中心のデータを管理し、数日で成果を測定するのに対し、Cisco XDR はテレメトリ中心のデータのリアルタイム相関分析により、数分で結果を提供します。
また、テレメトリソースとしてはエンドポイント、ネットワーク、ファイアウォール、メール、アイデンティティ、DNS をネイティブ解析し、相関付けします。
特にエンドポイントについては、Cisco XDR はCisco Secure Client(旧:AnyConnect)を搭載する 2 億のエンドポイントから収集するインサイトを活用。エンドポイントとネットワークの接点における、プロセスレベルの可視性を提供します。
シスコのネイティブテレメトリに加えて、主要なサードパーティベンダーのソリューションと連携
Cisco XDR は、シスコのネイティブテレメトリに加え、主要なサードパーティベンダーのソリューションと連携し、テレメトリの共有や相互運用性の強化を図り、ベンダーやテクノロジーに関わらず、一貫性のある結果を提供します。
現時点での主な戦略的パートナーは以下の通りです。
Cisco XDR が提供する価値
脅威の状況は複雑で変化しています。検知するだけで対策がなければ不十分である一方、検知できなければ対策もできません。Cisco XDR により、SOC 部門は脅威が重大な損害を引き起こす前に対応し、修復することが可能となります。
シスコは、ユーザーエクスペリエンスを損なうことなく、今日のますます複雑化するハイブリッド・マルチクラウド環境下のセキュリティを簡素化する統合ソリューションを提供できる、独自の体制を築いています。
そして、XDR の真価は、実際のセキュリティ成果、組織に対するリアルで測定可能なメリット、つまり早期検知、影響の優先付け、効果的かつ効率的な対策を実現できる点にあります。
結果をしっかり把握するためには、言葉で定性的に説明するだけでなく、数値による定量化が必要です。Cisco XDR は目に見える成果を達成するための明確な枠組みを提供します。
Cisco XDR はインテリジェンスとコンテキストを利用して調査し、対応アクションを実施します。
シスコ製品およびサードパーティベンダーのソリューションとの連携には、API を活用します。その上で、複数のリソースから得た傾向や性質を関連付け、単一のビューに統合します。
調査はセキュリティ インフラストラクチャ全体で統合され、1 つのビューで脅威の影響が可視化、単一の UI から直接修復も行えることで、圧倒的な短時間で脅威への対応が実現します。
まとめ
いかがでしょうか。Cisco XDR は、さまざまなツールからテレメトリを収集し、収集データの均質化及び解析により、脅威の早期検知を実現。それにより、SOC 部門は脅威が重大な損害を引き起こす前に対応し、修復することが可能となるソリューションです。
その他のセキュリティソリューションも含めた詳細は、シスコのセキュリティソリューションをご覧ください。
これからもシスコはセキュリティとネットワークを統合し、すべての人にとって使いやすく、安全な世界を提供していきます。ぜひお気軽に、お問い合わせください。
関連ブログ
セキュリティクラウドに関するブログシリーズを順次公開していきます。
Cisco Security Cloud
Tags:
