「Trend Micro™ XDR」がアラートの洪水から
セキュリティ担当者を救う

テレワークの時代に難度を増す、真の脅威の可視化をより早く的確に

コロナ禍の影響で働き方がオフィスワーク中心からテレワーク中心へとシフトし、脅威の侵入経路が社内外に広く分散し始めている。それに伴い、以前にも増して難度が高まっているのが、企業ネットワークに潜在する脅威の可視化だ。この難題を、「Trend Micro™ XDR」がどのように解決するかについて明らかにする。






監修:宮崎謙太郎
トレンドマイクロ
ビジネスマーケティング本部
エンタープライズ
ソリューション部

セキュリティ侵害の特定に約200日間

サイバー攻撃の手法が高度化・複雑化する一方で、テレワークの活発化により、脅威の侵入経路も社内外に拡散する──。企業ネットワークにおけるセキュリティ侵害を特定する難度は高まり続けている。

例えば、ランサムウェアだけをとらえても、旧来の攻撃手法は、攻撃用メールを無作為にばら撒くという単純なものだった。それが今日では、VPNサービスの脆弱性攻撃や不正アクセスによって遠隔から企業ネットワークに直接侵入し、侵入後の内部活動によって攻撃基盤を拡大してランサムウェア感染を広げるなど、攻撃手法がより複雑化し、多様化している。

 

図1:ランサムウェア攻撃の最新傾向

こうしたサイバー攻撃の複雑化・多様化によって、企業がセキュリティ侵害を特定する難度は上昇を続けている。Verisonの調査データ※1を見ると、 大手企業がセキュリティ侵害の特定に要する時間は2018年時点で平均197日間に及んでいた。それに加えて、侵害状況の調査と被害の修復を完了させるまでに平均で69日間もかけており、合計でおよそ9カ月間もの間、攻撃者によるセキュリティ侵害を排除できずにいた計算になる。

2018年時点では現状のコロナ禍の状況と比較して、テレワークの導入企業は少なく、ゆえに、業務で使われる端末が企業の境界防御の外側に置かれるケースも少なかったと言える。それが今日では、コロナ禍の影響で数多くの企業がテレワークの実施に踏み切り、コロナ終息後も、テレワーク中心の高効率な働き方を維持しようとする企業も多いと見られている。

結果として、業務で使う端末が企業ネットワークの境界防御の壁を越えて社外へと広がっていき、企業ネットワークの「内」と「外」の境界線が曖昧になってきている。それに伴い、セキュリティ侵害の調査をしっかりと行い、侵害の影響範囲を特定して被害の修復を行う難度はますます高まり、侵害の特定から修復までにかかる日数がさらに増えていく可能性が高い。

※1 出典: Verizon 2018 Data Breach Investigations Report

1日1万件強のアラート通知の現状

言うまでもなく、サイバーリスクを低減させるうえでは、セキュリティ侵害の特定から被害の修復までに要する日数を可能な限りに短くしなければならない。また、そのためには、自社のネットワーク上で「今、何が起きているか」をすみやかに、かつ、正確に可視化することが重要となる。

ところが、セキュリティ監視の多くの現場では、そうした可視化をスピーディに行うのが困難な状況にある。というのも、企業ネットワーク上に配備された多種多様なセキュリティ機器/ツールから、大量のアラートが発せられているからだ。

例えば、大手企業の50%強がファイアウォール、ゲートウェイ、エンドポイントセキュリティ製品など、25種以上のセキュリティ機器/ツールを導入しており、大手企業のセキュリティ担当者の55%が1日1万件強ものアラートを受け取っているというデータもある。※2

企業のネットワーク上で「今、何が起きているか」を可視化するには、そうした大量のセキュリティアラートを突き合わせ、相関分析を行う必要があるが、それには相当の工数を要する。また、異なるセキュリティ製品/ツールのアラートを相関分析するには、サイバー攻撃の手法に関する相当の知識が必要とされる。

さらに、ネットワークに潜在する脅威が未知の脅威である場合、その姿をとらえるのはさらに難しくなる。したがって、仮に、人海戦術でアラートの分析を行ったとしても、作業が長期間にわたったり、不完全な分析に終わったりすることが間々あり、それが、セキュリティ侵害への不十分な対応へとつながっていくことになる。

※2 出典:1. SC Media Survey, 2018, 2. ESG, OCT 2017

XDRが相関分析を自動化し、真に重要なアラートのみを発信

脅威の可視化を巡る上述したような課題を解決するためのソリューションが、トレンドマイクロの「Trend Micro™ XDR(以下、XDR)」だ。

XDRは、高度な脅威分析のインテリジェンスとAI(人工知能)の技術を使用して、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークなどから収集したデータの相関分析を自動実行し、真に対応(アクション)が必要なアラートだけを可視化するクラウド型のソリューションである。

図2:Trend Micro™ XDRのソリューションイメージ


メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークのそれぞれに対応したトレンドマイクロのセキュリティ製品や他社のセキュリティ製品と連携しながら、各レイヤーで起きている現象(アクティビティデータと脅威検知)をドライブレコーダーのように記録し続け、それぞれの現象をつなぎ合わせて、深刻度の高いセキュリティ侵害の事象を自動で探り当て、可視化する(図3)。

図3:Trend Micro™ XDRによるアラートの可視化イメージ


このXDRの働きにより、SOCやIT部門のセキュリティ担当者が対応すべきアラート数は大幅に低減されるほか、企業のネットワークに対するサイバー攻撃がどのように開始され、どの程度拡散しているかが速やかに把握できるようになる。そのため、インシデント対応チームは、セキュリティ侵害に対する適切でスピーディな対処・対応が可能になり、被害を小さく抑えることができる。

また、XDRでは、SIEM(Security Information and Event Management)/SOAR(Security Orchestration, Automation and Response)ソリューションとのデータ連携を実現し、XDRでカバーされていない対象も含めたセキュリティ分析やインシデント対応を行っているSOC/セキュリティ担当者の負担を大きく減らすことも可能だ(図4)。

図4:Trend Micro XDRのアーキテクチャ

アジャイル開発で短サイクルで機能強化を続ける

2020年11月時点では、XDRに対応しているトレンドマイクロ製品はエンドポイントセキュリティ製品「Trend Micro Apex One™ SaaS」とメールセキュリティ製品の「Cloud App Security」となる。他のトレンドマイクロ製品や他社製品へのXDR対応については順次行う計画だ(図5)。

図5:Trend Micro™ XDR対応製品一覧


また、XDRの開発にはアジャイル開発方法論が適用されており、機能強化がスピーディに行われていく。

セキュリティインシデントの発生件数は、コロナ以前から、ほとんどの業種で上昇の傾向にあり、インシデントの発生を未然に防ぐ対策とともに、インシデント発生後の対処・対応をいかに迅速、かつ適切に行うかが、サイバーリスク対策の大きな課題であり続けている(図6)。その課題解決の大きな障害となってきたのか、企業ネットワーク(IT環境)とサイバー攻撃の複雑化であり、“セキュリティアラートの洪水”だ。もはや、膨大な数のセキュリティアラートの分析を人手によって続けるのは限界とも言える。XDRのようなソリューションを使い、自動化への道に大きく踏み出す時期にさしかかっているのではないだろうか。

図6:公表されたセキュリティインシデント件数(業種別)

出典:公表事例を元にトレンドマイクロが独自に整理、2020年7月 トレンドマイクロ調べ


なお、トレンドマイクロのTrend Micro Managed XDR チーム(以下XDRチーム)では、XDRを顧客のためのセキュリティ分析にも活用しており、2020年10月には、XDR(「Trend Micro XDR Add-on: Apex One SaaS」)を使い、LAN内で稼働しているサービスを外部からアクセス可能にする正規のWebサービス「ngrok」を悪用する複雑な攻撃をXDRで特定することに成功している。その詳しい内容は、トレンドマイクロセキュリティブログで紹介されているので、ご興味のある方は参考にされたい。

トレンドマイクロセキュリティブログ「正規サービス「ngrok」を悪用する複雑な攻撃をXDRで特定」を読む
 

記事公開日 : 2020.12.22
※ 記載内容は2020年12月現在のものです