XDR入門：知っておくべき5つのヒント - TechRepublic

セキュリティチームが新たな検知やイベントに追われる中、拡張検知・対応は、組織が既存のセキュリティツールの価値を高めることを目指しています。その方法をご紹介します。

著者: Nick Hayes、CrowdStrike シニアプロダクトマーケティングマネージャー

今日のセキュリティチームにとって、アラートの過負荷はほぼ避けられない状況です。アナリストは、新たな検知やトリアージすべきイベントに圧倒されています。これらのツールは、ますます多様化し、分断されたセキュリティツール群に分散しています。実際、平均的な企業では、現在、環境全体で45ものサイバーセキュリティ関連ツールが導入されています。

攻撃の規模と巧妙さが増すにつれ、SOCアナリストがインシデントの全容と、あらゆるベクトルとタッチポイントを通じた長期的な横方向の移動の痕跡を解明するには、バックエンドでのより綿密な作業が求められます。サイロ化された検知方法ではもはや十分ではありません。

まだ限界点に達していないとしても、急速に近づいていることは明らかです。CrowdStrikeの2021年グローバルセキュリティ意識調査では、調査対象となった2,200人のITセキュリティ担当者の半数近く（47%）が、効果的な検知と対応を行う上での主な課題の一つとして、環境内でサイロ化されたセキュリティツールの増加を挙げています（図1参照）。最終的に、セキュリティチームは可視性のギャップが拡大し、トリアージと修復のワークフローの効率が低下するにつれて、これらの悪影響を実感することになります。

まさにここで、拡張検知・対応（XDR）の出番です。XDRは、セキュリティエコシステム全体の価値を解き放ちます。XDRがセキュリティチームを変革し、総合的にレベルアップさせるポテンシャルは、既存のセキュリティツールを単体で運用した場合の価値をはるかに上回ります。つまり、XDRに移行すると、接続するすべてのシステムのROIも向上するのです。

XDRへの移行を開始するための5つのステップ

XDRへの移行は指をパチンと鳴らすほど簡単ではありませんが、それほど遠い未来の話でもありません。エンドポイント検知・対応（EDR）の導入を始めたばかりの方でも、既に高度なセキュリティ対策を講じている方でも、XDRへの移行を今すぐ開始できる実践的なステップがあります。以下に、そのうちの5つのステップをご紹介します。

ステップ1：ゼロから始めるのではないことを認識する

他の多くの新しいセキュリティ技術とは異なり、XDRは付加的なものです。EDRを通じて強固なセキュリティ基盤を構築している（または構築を計画している）セキュリティチームは、既にXDRへの第一歩を踏み出しています。これは、XDRがEDRの拡張版であるためです。つまり、XDRは既存のEDRの概念、プロセス、ベストプラクティスを活用・拡張し、大規模なデータ集約で通常発生する不要なノイズの多くをネイティブにフィルタリングすることで、効率的な出発点として活用できるのです。

その結果、EDR データは、組織のテクノロジーエコシステム全体のシステムとアプリケーションからの追加のセキュリティテレメトリとワークフローを統合するための主要な焦点になります。

XDRがセキュリティ運用にもたらすシンプルさは、セキュリティシステムとITシステム全体にわたる脅威検知と対応のワークフローをいかに容易に統合できるかにあります。たとえ新任のCISOで、新たに策定したセキュリティプログラムを実行している場合でも、エンドポイントセキュリティ戦略の一環としてXDRを導入し、計画することができます。つまり、XDRを、検知と対応のすべてを連携させる基盤となる接続フレームワークとして組み込むのです。

ステップ2: 具体的なユースケースでXDRを分かりやすく説明する

XDRはまだ新しく、野心的なセキュリティコンセプトです。XDRを過度に先取りする前に、チームや影響力のあるビジネスステークホルダー全員がXDRを理解していることを確認してください。XDRをより身近に感じてもらうために、XDRによって実現される新しいセキュリティユースケースや改善されたセキュリティユースケースなど、XDRがもたらす可能性を説明しましょう。以下に例を挙げます。

相関関係のあるクロスドメインデータを使用してアラートの忠実度を向上
サイロ化されたセキュリティシステムでは見逃されがちな高度な脅威を検出します
製品間でピボットすることなく対応アクションを実行

ステップ3: アナリストのワークフローを合理化する計画を優先する

上記の3つのユースケース例に共通する傾向に気づきましたか？それは、それらが提供するセキュリティ上の主要な価値はすべて、運用効率とスピードに起因しているということです。XDRは様々な方法でビジネス価値を生み出すことができますが、チームの日常業務を最も劇的に加速させ、品質を向上させるXDRイニシアチブを優先してください。

このアプローチには多くのメリットがあります。業務効率の向上は、テクノロジー導入プロジェクトにおけるROI（投資収益率）の最大化につながるだけでなく、チームにとって最も具体的な成果の一つでもあります。より迅速かつ効率的な業務遂行は、職務満足度の向上、アナリストのバーンアウト軽減、スタッフの定着率向上といった三次的なメリットにもつながります。

ステップ4: 既存のセキュリティスタックを活用する

拡張性はXDRの根本的な価値ドライバーです。XDRを導入するために、セキュリティスタックに多数のツールを追加したり、置き換えたりする必要はありません。むしろ、その逆です。XDRは既存のツールを維持しながら、既に実施しているエンドポイントセキュリティ業務との緊密な統合、自動化、分析を通じて、その価値を拡張できるはずです。

あらゆる組織に存在する膨大な数のシステム、アプリケーション、ネットワーク、アイデンティティは今もなお増加の一途を辿っており、XDRを成功させるには、最も重要なドメインの優先順位付けと優先度の引き上げが不可欠です。このため、CrowdStrikeは、最も関連性の高い重要なドメインにおいて、XDRが適切に設計され、適切な成果が得られるよう、CrowdXDR Allianceを設立しました。

XDR統合のメリットを活用できるセキュリティソリューションを特定し、段階的にアプローチを進めてください。要件を満たすセキュリティソリューションは数多く存在するかもしれません。しかし、XDRをセキュアメールゲートウェイに最初に拡張するか、クラウドワークロード保護プラットフォーム（CWPP）に拡張するかに関わらず、EDR相関分析に豊富なコンテキストを追加し、これまでのステップで概説した運用上の優先事項と整合する適切な補足データを取り込むことに重点を置きましょう。

ステップ5：最初から忠実さを優先する

XDRは、今日のセキュリティチームを悩ませているアラート疲れの問題を解決する必要があります。しかも、導入初日からその効果を発揮するはずです。XDRの主目的は、アラートノイズを削減し、複雑でリソースを大量に消費するアラート設定プロセスを簡素化することです。もし、検知を適切にカスタマイズするために多大な時間と専門知識を費やさなければ、XDRがこれらの目標を達成できないのであれば、そもそもXDRを追求する意味はありません。従来のSIEMツールで膨大なセキュリティデータを処理しようとすると、振り出しに戻ってしまうのです。

だからこそ、XDRは検知と対応の効率性をお客様にとって有利に導く必要があります。やり方はシンプルです。XDRソリューションにデータを送信すれば、あとは初期段階から継続的なデータマッピング、相関分析、運用に必要な自動化など、すべてXDRが処理します。このアプローチにより、XDRにおける忠実性と最小限のチューニングの価値が高まり、達成できるかどうかわからない長期的な目標ではなく、コア要件として位置付けられます。