XDR バイヤーズガイド

 

Extended Detection and Response（XDR）について

世界中で、さらに強固な セキュリティ対策が求められているのはなぜでしょうか。

今日のハイブリッド、マルチベンダー、マルチベクトル環境では、複雑さが最大の

課題です。セキュリティチームは、統合に一貫性がない多数のツールで運用を実行し、拡大し続けるエコシステムを保護する必要があります。IoT とハイブリッドワークにより、攻撃対象領域が拡大しています。フィッシング、マルウェア、ランサムウェアは、毎年 2 倍、場合によっては 3 倍に増加しています。同時に、企業はかつてないほどのハイパーコネクティビティを体験しています。1 つの企業に対するセキュリティ侵害が、企業のサプライヤー、パートナー、顧客、さらにはあらゆる経済セクターに影響を与える可能性があります。 

こうした新しい日常に、セキュリティレジリエンスが求められています。セキュリティレジリエンスとは、ビジネスが先例のない脅威や変化に耐え、かつ一層の強靭性をもって回復できるよう、あらゆる側面でビジネスの完全性を守ることです。今、セキュリティレジリエンスには、これまで以上の対策が求められています。

ソリューション

脅威がますます高度化している今、自己完結型のポイント セキュリティ ソリューションを寄せ集めて構築した古い検出・対応モデルでは不十分です。ここで登場するのが XDR です。Extended Detection and Response（XDR）は、統合型のセキュリティインシデント検出および対応ツールです。XDR ソリューションはテレメトリを複数のセキュリティツールから自動的に収集して関連付け、分析を適用して悪意のあるアクティビティを検出し、脅威に対応して修復します。効果的な XDR ソリューションは包括的です。電子メール、エンドポイント、サーバー、クラウドワークロード、ネットワークなどのあらゆるベクトルにわたってデータを関連付け、最も高度な脅威に対してさえ、環境全体を可視化してコンテキストを提供します。

XDR を選ぶ理由

第一に、チームはイベントの関連付けとマルチベンダー検出により、ネットワーク、クラウド、エンドポイント、電子メールなどにかけて最も高度な脅威を検出できます。

第二に、チームが影響に基づいて脅威に優先順位を付けられるため、アラート疲れを軽減できます。

第三に、タスクの自動化によって生産性が向上するため、チームは SOC リソースをより効率的に使用できます。

第四に、組織はセキュリティギャップを埋め、実用的なインテリジェンスを通じて次に何が起こるかを予測することで、セキュリティレジリエンスを構築できます。

適切な XDR に必要な 5 つの要素

1. 優先順位が付けられた実用的なテレメトリを、必要なあらゆる分野で提供できる

大量のアラートを効率的にふるいにかけ、トリアージすることができますか？

可視性の広さとインサイトの深さは、XDR の基本的な特徴です。高度な脅威の多くは、エンドポイントまたはネットワークを単体で攻撃するのではなく、電子メール、エンドポイント、ネットワーク、ID 管理、サンドボックス、ファイアウォールなど、さまざまなベクトルにわたり攻撃します。そのため、XDR の結果を通知し、環境全体で起こっている事態の包括的かつ完全な情報を提供できる、幅広いテレメトリと高いデータ品質を備えた XDR ソリューションが必要です。しかし、インサイトを収集するだけではなく、インシデントを管理することも同様に重要です。XDR が期待どおりの効果を実現するには、これらのインサイトに優先順位を付ける必要があります。リスクベースの優先順位付けを提供する XDR ソリューション（リスクが最大のインシデントを優先）を使用することで、本当に重要なインシデントに迅速に対応できます。また、XDR は次のステップの推奨事項も提示する必要があります。そうすることで、最善の行動方針について十分な情報に基づいた決断を下すことができます。

ベンダーへの質問

●      ご提案のソリューションは、すべての環境（エンドポイント、デバイス、ネットワーク）に対する可視性をどのように実現しますか？

●      ご提案のソリューションは、インサイトをどのように提供しますか？ご提案のソリューションは、優先順位付けされたテレメトリを提供していますか？

●      ご提案のソリューションは、ビジネスへの影響とリスクに基づいてどのように脅威の優先順位付けを行いますか？

●      検出にはどのタイプの脅威インテリジェンスが活用されていますか？そのインテリジェンスはどこで取得されますか？

●      ご提案のソリューションで使用するデータソースをどのように検証していますか？

●      この製品は、Wannacry、NotPetya、Turla などの高度な脅威にどのように対応しますか？

2. ベンダーや攻撃ベクトルを問わず、脅威の検出能力を集約

お使いの XDR ソリューションでは、セキュリティへの投資を 1 つの連携したユニットとして動作させることができますか？ 

脅威がより高度になり、攻撃ベクトルの種類が増すにつれて、環境全体で一貫した検出を実現することがこれまでになく重要になっています。今日のセキュリティ チームは、セキュリティ環境と、グローバルサプライチェーン、攻撃者、防御システムから成るエコシステムの両方で、並外れたレベルの複雑さに対処しています。XDR ソリューションは、重大度と影響に基づいて検出内容を集約、相関付け、優先順位付けすることにより、チームの対応をサポートします。ただし、これを可能にするには、セキュリティスタックが連携して動作する必要があります。オープンかつ拡張可能でクラウドファーストの XDR ソリューションを選択することで、複雑なレイヤーを追加するのではなく、環境全体で統合された検出とイベント相関によるメリットを得ることができます。セキュリティスタックの各コンポーネントには、ネットワーク、電子メール、ファイアウォールなど、それぞれに固有の検出要素があります。それらを統合することで、さらに高度な検出が実現します。XDR は、潜在的な脅威の包括的なビューを提供するために、エンドポイント、ネットワーク、ファイアウォール、電子メール、ID、DNS の 6 つのテレメトリソースすべてを網羅する必要があることを考慮することが重要です。XDR ソリューションは、ネイティブのバックエンドからフロントエンドへの統合によって、セキュリティスタック全体と簡単に統合できる必要があります。これにより、ベンダーがポートフォリオを変更した場合や、ベンダーを切り替えた場合でもカバレッジの一貫性を保つことができます。最後に、セキュリティスタックの脅威検出機能を最適化するには、価値の高いローカルコンテキストを提供し、信頼できる正確な脅威インテリジェンスの判断を提示できる XDR ソリューションを検討する必要があります。

ベンダーへの質問

●      ご提案の XDR プラットフォームでは、弊社の既存の投資をいくつ活用できますか？

●      ご提案の XDR プラットフォームは、ベンダーに関係なく弊社のソリューションと互換性がありますか？

●      ご提案のソリューションは、すぐに互いに統合できますか？

●      ご提案の検出テクノロジーは、市場の他のテクノロジーと比べてどのように優れていますか？

●      ご提案のソリューションは、どのような種類の脅威の検出に役立ちますか？アラートは MITRE ATT&CK フレームワークにマッピングされますか？

3. 脅威対応の的確さとスピードの向上に貢献

脅威を特定したら、どれくらいの速さで自信を持って対応できますか？

ネットワーク、エンドポイント、メール（およびその他の多くの要素）から得られたインサイトが統合されると、
発生している事象、その進行状況、脅威の修復に必要な手順について、より正確に理解できます。脅威の影響と範囲を 1 ヵ所から確認し、1 ～ 2 回のクリックでアクションを実行できることが理想です。効果的な XDR は、ホストの隔離や、すべての受信トレイからの悪意のある電子メールの削除など、ネイティブな対応および修復機能を備えています。時間の経過とともにチームがセキュリティを進化させることができるように、XDR にはカスタム対応措置を容易に作成し、自動化できる機能も必要です。

ベンダーへの質問

●      製品はどのような対応措置を備えていますか？

●      1 つの場所で XDR ソリューションを使用してエンドポイントで修復を実行し、他の場所に拡張することはできますか？

●      製品は、対応を可能にする既存のセキュリティツールとどのように統合できますか？

●      ご提案のソリューションは、どのように修復を加速しますか？

●      脅威のアラートから修復までの対応時間はどのくらいですか（例：フィッシング攻撃の場合）？

4. 脅威調査の結果を集約し、ユーザー体験を合理化できる

脅威の検出、対応、修復は、単一のインターフェイスから管理できますか？

XDR ソリューションを評価する際は、セキュリティアナリストのエクスペリエンスを考慮することが重要です。セキュリティチームはすでに多くの管理を担当しています。数十のツールと大量のコンソールによって、チームに負担をかける必要はありません。そのため、複数のセキュリティツールとデータソースにわたるセキュリティデータの統一されたビューを提供することで、アナリストが脅威をより迅速かつ効果的に検出して対応できるように設計された XDR ソリューションをお勧めします。これにより、ワークフローが合理化され、セキュリティインシデントの調査と修復に必要な時間と労力を削減できます。XDR ソリューションは、すべての脅威ベクトルとアクセスポイントをカバーする完全なライフサイクルダッシュボードを提供する必要があります。また、MITRE ATT&CK などの仕組みを用いて脅威ハンティングを促進し、経験の浅いメンバーでも仮説主導型の脅威ハンティングが実行でき、次に何が起こるかを把握し備えられるようにする必要があります。考慮すべきもう 1 つの要素は、設計がアナリストのエクスペリエンスに与える影響です。XDR ソリューションによって生産性を高め、検出、調査、対応の主要機能に関連する意思決定時間を短縮し、初心者から中級者のアナリストがセキュリティ運用における高度なタスクを実行できるようにする必要があります。そのためには段階的な情報開示によってより優れたコンテキストを提供し、潜在的な脅威の範囲と深刻度をすばやく判断できるようにする必要があります。

ベンダーへの質問

●      ご提案のソリューションは、当社のチームの脅威ハンティングをどのように支援できますか？

●      ソリューションは、SOAR や SIEM ソリューションなどの既存のセキュリティテクノロジーとどのように統合できますか？

●      ご提案の XDR を使用すると、脅威の影響や侵害の範囲を把握し、単一のインターフェイスから 1 回のクリックで措置を講じられますか？

●      ご提案のソリューションは、システム/サブシステムへのアクセスのすべてまたは一部を承認されたグループおよび個々のユーザーに制限することによる、ロールベースのセキュリティがサポートされていますか？

●      弊社で使用する既存のすべてのセキュリティテクノロジーからのテレメトリを一元化して分析できますか？

●      ご提案のソリューションでインシデント対応ワークフローを合理化し、全体的な調査時間を短縮できますか？

5. 生産性を高め、セキュリティ態勢を強化できる機会を提供する

ご提案の XDR ソリューションで、オーバーヘッドを減らしながら、脅威の検出と対応の効率を向上させることは可能ですか？

企業のセキュリティレジリエンスを構築するための重要な要素は、自動化とオーケストレーションです。セキュリティスタッフには、完了すべき重要なタスクがあります。セキュリティの脅威に直面した場合に、複雑な人力の、反復的なワークフローに時間を費やす必要はありません。重要なワークフロー（アラートの検出、関連付け、優先順位付け、対応措置の迅速な実行など）を自動化することによって生産性を向上させる XDR ソリューションは、ライフサイクル全体でチームを解放します。効果的な XDR ソリューションは、明確な判断とアクションを可能にする調査を実現し、アナリストがポリシーと手順に従って自動化された一貫した方法で対応できるようにすることで、対応にかかる平均時間を短縮します。これは、セキュリティチームがより戦略的でプロアクティブなセキュリティタスクに時間とエネルギーを投資し、企業のセキュリティ体制をさらに強化できることを意味します。

ベンダーへの質問

●      サードパーティとの統合で、ベンダーがAPIを変更した場合に自動化スクリプトに影響は出ませんか？ 

●      ご提案のソリューションは、クラウドベースのワークロードとの間の監視をどのようにサポートできますか？

●      ご提案の XDR ソリューションを使用するために環境を変更したり、新しいテクノロジーを導入したりする必要はありますか？

●      ご提案の XDR ソリューションは、サードパーティのセキュリティテクノロジーとの事前構築済みですぐに利用できる統合を提供していますか？

●      ご提案の XDR ソリューションで、インシデントの調査と解決に必要なアナリストの時間を短縮できますか？

●      ご提案の XDR ソリューションは、レジリエンスを構築するためにポリシー管理に向けた情報を提供しますか？

Cisco XDR

XDR はセキュリティレジリエンスに不可欠な要素

今の時代に確実なのは、「すべてが不確実」ということです。そのため企業は、財務からサプライチェーンまで、
ビジネスのあらゆる側面でレジリエンスを高めるべく投資を続けています。しかし、セキュリティレジリエンス、
つまり脅威や混乱からビジネスを保護し、変化に自信を持って対応することで企業を強化する能力への投資がなければ不十分です。

XDR は、ビジネスのセキュリティレジリエンスを実現するために不可欠な要素です。XDR を適切に活用することで、セキュリティチームが影響によって脅威に優先順位を付け、脅威をより早く検出し、対応を迅速化できるよう
になり、セキュリティ体制を強化できます。自動化とオーケストレーション機能によってこのプロセスが促進され、セキュリティチームが最も重要なことに集中できるようになります。

Cisco XDR で簡素化されたセキュリティ運用

シスコは、市場で最も包括的なセキュリティポートフォリオで XDR ソリューションをリードしています。シスコでは、将来のセキュリティニーズを予測し、市場で最も包括的なセキュリティポートフォリオの作成に積極的に投資してきました。ベンダーとベクトルを問わずコンポーネントを統合することで、効果的なセキュリティを簡素化し、すべてのチームがアクセスできるようにしました。シスコは、XDR アプローチの構築が 1 つのプロセスであると考えています。また、お客様のチームがポイントソリューションで過飽和状態にある業界の、その場しのぎの修復による悪循環から抜け出すことを望んでいます。Cisco XDR によって、検出から対応までの最短経路を最小限の負担で発見することを目指しています。

SOC エキスパートが SOC エキスパートのために設計した Cisco XDR は、セキュリティ オペレーションを簡素化し、セキュリティ アナリストが最も高度な脅威に対してプロアクティブに対応し、レジリエンスを維持できるように支援します。シスコのソリューションはオープンで拡張性が高く、クラウドファーストです。そのため既存のセキュリティ投資を活用し、環境全体でセキュリティ検出能力を統合できます。

シスコでは、お客様のアセットを保護することに真剣に取り組んでいます。シスコもお客様の顧客であるためです。シスコは Cisco Security Cloud を通じて、セキュリティレジリエンスを目指す過程でお客様のパートナーになりたいと考えています。Cisco Security Cloud は、次に何が起こるかにかかわらずエコシステム全体を保護するために役立つオープン セキュリティ プラットフォームです。包括的なセキュリティの力をぜひ体験してください。

将来のセキュリティ運用を今すぐ構築する準備はできていますか？

Cisco XDR の詳細

主な XDR 要素と機能

XDR ベンダーとの会話の際のクイック リファレンスとして、この表（10 ～ 11 ページ）を使用してください。