• XDR
  • EDR
  • マルウェア対策
  • インタビュー

EDRの導入を検討する企業が押さえておきたい。
"その先"を見据えたセキュリティ対策としてのXDR。


                                                                        cortexxdr_article.jpg

皆さん、こんにちは。ITPNAVI編集部の吉田です。多くの人が抱えるITに関するお悩みの解決策を、その道の専門家に教えて貰う「吉田が訊く!」。
第7回目は、サイバー攻撃が増加する中で、EDRの次のステップとしてやるべきセキュリティ対策をご紹介します!

サイバー攻撃の脅威が高まる中、侵入を前提とした対策として「EDR(Endpoint Detection & Response)」に注目する企業が増えています。しかし、これまでのセキュリティ製品と同様、EDRも「これを導入すれば、もう安全」というものではありません。そこで今回は、世界有数のサイバーセキュリティ企業であるパロアルトネットワークス株式会社(以下、パロアルトネットワークス)の高野氏とSCSK担当者に、EDRの次のステップとしてやるべきセキュリティ対策について話を聞きました。

パロアルトネットワークス株式会社 Cortex 営業本部 リージョナルセールスマネージャー 高野 清 氏
パロアルトネットワークス株式会社
Cortex 営業本部
リージョナルセールスマネージャー
高野 清 氏
SCSK株式会社 ITプロダクト&サービス事業本部 セキュリティプロダクト部 営業第三課 高野 駿
SCSK株式会社
ITプロダクト&サービス事業本部
セキュリティプロダクト部
営業第三課
高野 駿
SCSK株式会社 ITプロダクト&サービス事業本部 セキュリティプロダクト部 技術第一課 プロフェッショナルプロダクトスペシャリスト 長尾 雅人
SCSK株式会社
ITプロダクト&サービス事業本部
セキュリティプロダクト部
技術第一課
プロフェッショナル
プロダクトスペシャリスト
長尾 雅人
SCSK株式会社 プラットフォーム事業グループ プラットフォーム事業グループ統括本部 営業推進部 第一課 吉田 由佳梨
SCSK株式会社
プラットフォーム事業グループ
プラットフォーム事業グループ
統括本部
営業推進部
第一課
吉田 由佳梨

この記事を読んでわかること

  • サイバー攻撃の高度化とリモートワークの増加により対応・復旧の重要性からEDRに注目が集まっている
  • NDR、XDRが複数のセキュリティ製品を統合する新たなソリューションとして進化
  • パロアルトネットワークスのCortex XDRはEDR・NDRなどのログを統合、効率的な管理と迅速な対応を可能にするプラットフォーム

攻撃の高度化とリモートワークの増加でセキュリティ意識に変化が

SCSK 吉田:EDRは少し前まで先進的な企業が導入するものというイメージでしたが、最近はより普及しつつあるように感じています。その背景にはどういった事情があるのでしょうか?

SCSK 高野:これまで、社内と社外の境界に設置するファイアウォールと、エンドポイント対策のEPP(Endpoint Protection Platform)を利用したセキュリティ対策が主流でしたが、攻撃手法が複雑化・多様化しており、すべての攻撃を防ぐことが困難となっています。防御が重要なことは変わりませんが、何かあった際の対策も重視する企業が増えており、EDRが注目されています。
さらにコロナ禍でリモートワーカーが急増し、ゼロトラストセキュリティの考え方も知られるようになりました。対策が急務になったことも追い風となり、ここ2~3年、多くの企業がEDRなどの検討をはじめた印象です。

パロアルトネットワークス 高野氏:私も同じ認識です。マルウェア攻撃が増えていることは間違いなく、従来型のEPPでは最新の攻撃は止めきれなくなっています。また、リモートワークが進んだことで、会社にいれば把握できたことが見えづらくなってしまうため、感染後の事後対策まで想定して見える化をしたい、というニーズが高まっているようです。

SCSK 吉田:なるほど。EPPだけでは最新の攻撃を止めることは難しく、マルウェアに感染することを前提とした対策として、EDRを導入する企業が増えてきているということですね。

「識別・防御・検知」だけでなく、「対応・復旧」対策が必要も、課題は人材不足

SCSK 吉田:セキュリティへの意識が変わりつつあるということですね。では、この変化により実際の対策はどう変わるのでしょうか?

パロアルトネットワークス 高野氏:NIST(米国国立標準技術研究所)が提唱するサイバーセキュリティ対策のフレームワークでは、やるべき対策が識別・防御・検知・対応・復旧の5つに分類されています。これまでのセキュリティ対策は、前半の「識別・防御・検知」を中心に取り組まれるお客様が多かったのですが、今後は最新の脅威に対応するため「対応・復旧」まで含めた対策が重要になります。「対応・復旧」は思った以上に時間も工数もかかるため、今後はその点がセキュリティ運用の課題となるでしょう。

SCSK 高野:確かにリソース不足は大きな課題です。オンプレミスだけでなく、クラウドやSaaSなどの対策も必要ですし、管理するセキュリティ製品も増え、運用者に求められるスキルが複雑化・多様化しています。しかし、スキルを持つ人がいない、いても時間が足りない、と厳しい状況の企業も多いです。セキュリティソリューション導入時には「誰がどう運用するか」という観点で、担当者の負荷を軽減することも重要な要件となっています。

EPPと連携し、マルウェア感染時の追跡を可能にするEDR

SCSK 吉田:なるほど、では新たに「対応・復旧」まで含めた対策が求められる中でEDRはどういった役割になるのでしょうか?

SCSK 長尾:EDRはエンドポイント上ですべての動作のログを取得した上で、インデックス化し、解析できるようにするものです。「どのファイルを実行したか」「ダウンロードしたか」「どこにアクセスしたか」などがすべて記録され、すべての挙動を追跡できる仕組みを持つことが特徴です。これにより、マルウェア感染時の追跡・解析ができるようになります。また、内部犯行の追跡も可能で、なりすましやID乗っ取りなどの攻撃にも対応できます。

SCSK 吉田:EDRはマルウェア感染時に迅速に追跡・対応が可能なのですね。ということは、EPPで防ぎきれない攻撃は、EDRで対応すれば問題なさそうですね。

パロアルトネットワークス 高野氏:その考え方には誤りがあります。「従来型のEPPだけでは攻撃を防ぎきれず、EDRでさらなる対策が必要」という点は間違いないのですが、やはりEPPで防げるものはEPPで防ぐことが基本です。例えばマルウェアが侵入しEDRがアラートを上げると、他の端末やファイアウォールの確認といった煩雑な作業が必要になります。しかし、EPPで機械的に防御できれば、その後工程となる、確認・調査作業は不要となります。そのため、EPPで止められるものはEPPでブロックすることがベストです。EPPで防げずマルウェアに感染した場合に、被害の拡大を防ぐため、EPPとEDRの連携が必要です。多くのEDR製品はEPPとは別のソフトウェアを入れるものが多いのですが、パロアルトネットワークスでは1つのエージェントでEPPとEDR両方の機能を提供し、密な連携を実現しています。

SCSK 吉田:なるほど。リソース不足を防ぐためにも、EPPで防げるものはEPPで防ぐことが大前提ということですね。その上で、EDRと連携することで被害の拡大を最小限で抑えることができるのですね。

EDRの次に検討したい「NDR」は何を検知できるのか?

SCSK 吉田:EDRと同様に新たなセキュリティとして「NDR」が注目されているようですが、EDRと何が違うのですか?

SCSK 長尾:NDR(Network Detection and Response)はファイアウォールやルータなどのネットワーク機器を流れるパケットを監視し、状況の追跡を可能にします。マルウェアは侵入後、目的のサーバから必要なデータを窃取しますが、こういった不審な挙動をネットワーク機器のログから見つけ出すには、複数のログを関連付けて「不審かどうか」を判断しなければなりません。膨大なログから人手で不審な挙動を探すのは難しく、NDRを活用して機械学習などで検出するしかありません。

SCSK 吉田:エンドポイント上の脅威を検知するEDRと異なり、NDRはネットワーク内の挙動を監視し脅威を検知することができるのですね。

パロアルトネットワークス 高野氏:パロアルトネットワークスでも長年ファイアウォールなどを提供していますが、従来のファイアウォールはその瞬間での良し悪しを判断するもので、長期保管したログはほとんどのお客様で追加の解析などはされていません。しかし、これを機械学習で中長期的に解析することで、今まで見えなかったものが見えてきます。例えば、一般社員が管理サーバに対して1分間に1000回リクエストを送っているケースなど、「1つずつのリクエストが正常でも、全体を見ると異常」というものを検知できます。ただ、エンドポイントはEDR、ネットワークはNDRと個別に対策するのでは大変ですから、できる限り管理を統合することをお勧めしています。このセキュリティの統合を実現するのが「XDR(Extended Detection & Response)」です。

さまざまなセキュリティ対策を統合するプラットフォーム「XDR」

SCSK 吉田:XDR…、EDRとNDRとXDR。同じような名前がたくさん出てきて混乱してきました。XDRは、具体的にどういったソリューションなのでしょうか?

SCSK 長尾:XDRは、EDRやNDRをはじめさまざまなセキュリティ製品のログを集約し、相関分析することで、攻撃の検知から調査、対処までを実現するものです。EDRやNDR導入後にはアラートに対応しきれないことが課題となりますが、XDRでは各製品のアラートを1つのインシデントとしてまとめて通知できるため、迅速な対処と担当者の負荷軽減につながります。

SCSK 吉田:なるほど。XDRはEDRとNDR両方の役割を果たすことができるのですね。
ところで、パロアルトネットワークスでは、EDRが登場し、先進企業が導入し始めた段階からXDRの製品化を進め「Cortex XDR」を開発したと伺いました。

パロアルトネットワークス 高野氏:はい。そもそも、XDRは2018年に弊社の創設者 Nir Zukが提唱したものです。当時はEDRが登場し、先進企業が導入し始めた段階でしたが、「セキュリティ対策が必要な領域がさまざまある中で、エンドポイントだけを監視しても意味がない」との考えから、すべてを統合できるXDRをビジョンに製品化を進めてきました。Cortex XDRはEDR、NDRに加えCDR(Cloud Detection & Response)、UDA(ユーザ振る舞い検知)などまですべてを統合できるプラットフォームとなっています。

SCSK 吉田:Cortex XDRの特長と導入効果を教えてください。

SCSK 長尾:Cortex XDRの強みは、エンドポイント・ネットワーク・クラウド環境で発生する各種ログのすべてを集中管理するクラウド型データレイク「Cortex Data Lake」を持つ点です。他のXDRが各種ログをまとめて見られるだけなのに対し、Cortex XDRは収集したログをAIが自動で学習・分析した上で関連する複数のアラートを1つのインシデントにまとめ、1枚の管理画面上に表示します。各インシデントには脅威の重要度(トリアージ)も自動で付けられており、セキュリティ担当者の対応業務の負荷を大幅に軽減します。Cortex XDRの導入により1つのアラート調査にかかる時間を8時間から1時間に短縮できたというケースも聞いています。

<Cortex XDR概要>

<Cortex XDR概要>

SCSK 高野:Cortex XDRはセキュリティのオペレーションを統一・自動化できることがメリットです。認知度の高い次世代ファイアウォール「PAシリーズ」だけでなく、あらゆるセキュリティインフラをパロアルトネットワークス製品でカバーしており、Cortex XDRに管理を集約できることは最大の優位性です。

段階的な導入で強固な統合型セキュリティプラットフォームを構築

SCSK 吉田:これからはエンドポイントだけでなく、さまざまなポイントを統合した対策が求められることはよく分かりました。ただ、いきなりすべてを導入するのはハードルが高いように思うのですが。

パロアルトネットワークス 高野氏:パロアルトネットワークスの最高製品責任者であるLee Klarichもその点は認識しており、「ビジョンを重視して製品化しているが、段階導入でき、最終的に統合できるように開発している」と話しています。とはいえ、全体像だけ良くても個別ソリューションが劣るようでは問題がありますが、パロアルトネットワークスの製品は、次世代ファイアウォール・ゼロトラスト・Secure Web Gateway・XDR・EDR・Soarなど、14のセキュリティ・カテゴリでリーダーポジション・ベストポジションに認められており、段階的な導入でも高水準のセキュリティをご利用いただけます。

SCSK 吉田:一度にすべての対策を導入する必要はないのですね。パロアルトネットワークスの製品であれば、高いセキュリティを保ちながら段階的に対策していくことができるため、安心ですね。

SCSK 高野:パロアルトネットワークスと国内一次代理店であるSCSK、そして販売パートナー様が三位一体となり、お客様への提案からアフターサポートまで一貫した支援を行っております。パロアルトネットワークスの3つのブランドすべてを取り扱っており、専任の技術者と営業の部隊がさまざまな製品について技術的な支援を提供しています。例えば、多くの企業がテレワークを採用した今、場所を問わずにセキュリティ対策を実現できるSASEソリューションも注目されていますが、SCSKではパロアルトネットワークスのSASE「Prisma Access」も提供できます。

<Palo Alto Networksの3つのブランド>

<Palo Alto Networksの3つのブランド>

SCSK 長尾:SASEはログの取り出しが煩雑なものが多く、ログの集約に苦労することが多いのですが、Prisma AccessはCortex XDRと容易に連携でき、Cortex XDRのライセンスを追加するだけでログを解析基盤に自動転送できます。ダイレクトにログを転送できるのは、ワンプラットフォームを打ち出すパロアルトネットワークスならではの強みです。

SCSK 吉田: Cortex XDRとPrisma Accessの連携で、セキュリティ担当者の対応業務負荷をより軽減することができますね。

<パロアルトネットワークス製品で描くグランドデザイン>

<パロアルトネットワークス製品で描くグランドデザイン>

SCSK 吉田:最後に今後のパロアルトネットワークスの展望とSCSKへの期待をお教えいただけますでしょうか。

パロアルトネットワークス 高野氏:パロアルトネットワークスはファイアウォールの会社だと見られがちですが、XDRなど革新的で先進的なビジョンを持つ会社です。非常に短いスパンで製品の機能改修を行い、今後も投資を抑えることなく、お客様を守る製品を提供したいと考えています。SCSKには単に製品を扱うだけでなく、我々のビジョンも合わせて展開いただいており、今後も販売パートナーと連携したエンドユーザのご支援をお願いできればと思います。

SCSK 高野:攻撃手法がますます複雑化する中で、1つのインシデントが企業の株価などにまで影響するほどのクリティカルな問題になりかねない状況になっています。SCSKでは今後も、より多くの企業にパロアルトネットワークスのセキュリティプラットフォームの重要性や必要性を伝えることに努めてまいります。

最新情報などをメールでお届けします。
メールマガジン登録

×