サイバー攻撃が高度化する中、攻撃者の侵入を完全に防ぐのは難しくなった。そこで重要なのは、業務停止や重要データの漏洩といった「致命傷」を回避することだ。社内中にセンサー網を張り巡らせ、攻撃者によるラテラルムーブメント(横の動き)を捕らえよう。
「サイバー攻撃は完全に防げない」との発想に基づいたセキュリティー対策の第一歩は、本特集の第2回で紹介した「EDR(エンドポイントでの検知・対応、Extended Detection and Response)」だ。EDRは米国の国立標準技術研究所(NIST)が策定したサイバーセキュリティーフレームワーク(CSF)において、真ん中の「検知」以降の右側のフェーズを担う。
今回はCSFにおける右側の「対応」「復旧」プロセスをさらに強化する「シフトライト」の対策を取り上げる。
ポイントは2つある。第1はEDRを拡張したXDR(拡張型の検知・対応)を導入することで、ラテラルムーブメントのような複雑な動きをするセキュリティー脅威をしっかり検出する対策だ。ラテラルムーブメントは近年のマルウエアによく見られる手法で、標的型攻撃などで社内に侵入した後、ひそかにネットワーク上で横展開して重要システムの乗っ取りを図る。第2は、SOAR(セキュリティー・オーケストレーション・オートメーション&レスポンス)などの導入によってサイバー攻撃への対応や復旧の自動化と高速化を図る対策だ。
エンドポイント以外からも情報を収集、動きをつなげて脅威を分析
XDRはEDRを拡張したソリューションの総称である。EDRではパソコンなどエンドポイントの情報を分析し、端末上の脅威を検出・対応する。一方、XDRは「Extended(拡張)」という名前の通り、EDRよりも広範囲の機器やクラウドサービスなどから情報を集めて分析し、様々なデバイスやシステムにまたがる怪しい動きを見つけ出す。
具体的にはXDRは、エンドポイントに加えファイアウオールやスイッチなどのネットワーク機器のほか、CASB(クラウド・アクセス・セキュリティー・ブローカー)、SWG(セキュアWebゲートウエイ)といったクラウド上のセキュリティーサービス、IDP(IDプラットフォーム)、メールシステムなどから多岐にわたる情報を集める。
集めた情報はXDRベンダーがクラウド上で運用するデータレイクに蓄積し、XDRベンダーごとに独自の検知エンジンによって分析して攻撃を検知する。ユーザー企業のセキュリティー担当者がアラート情報などを閲覧するための管理コンソールなどもXDRベンダーが提供する。
攻撃を検知する際の情報の種類やロジックはEDRと同じだ。IOC(Indicator of Compromise)やIOA(Indicator of Attack)と呼ばれる情報や、米国の非営利研究機関であるMITRE(マイター)が公開する攻撃手法のナレッジデータベースである「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge、マイターアタック)」、外部ベンダーが提供する「脅威インテリジェンス」などだ。
IOCとは攻撃後にマルウエアなどがシステムに加えた痕跡であり、例えば「攻撃に利用されるC&C(指令)サーバーのIPアドレスやURL」「マルウエア感染時に変更されるレジストリー名や値」などだ。IOAは攻撃時に実行する一連の行動で、水面下で進行する攻撃を途中で捉えるために使用する。MITRE ATT&CKは、サイバー攻撃で使われる具体的な手口を「テクニック」や「戦術(タクティクス)」として整理したナレッジデータベースだ。脅威インテリジェンスはサイバー攻撃を実施する犯罪グループの動向、インターネット上で見られるサイバー攻撃の予兆などの情報のことである。
XDRがEDRと異なるのは、EDRが単一のエンドポイントにおけるサイバー攻撃の有無を検知するのに対して、XDRは複数の情報ソースから収集したデータの相関性を分析することで、別々の場所で起こった攻撃の痕跡をつなげて1つのインシデントとして検知することだ。
アラートの殺到を避けつついち早く被害範囲を特定し、対応・復旧に取りかかれる。XDRはEDRと同様、被害後の対応も支援できることが多い。例えばマルウエアに感染した端末の外部への通信を遮断するなどの機能を備える。
