ニュース

Limitless XDRをリリース ― セキュリティデータを自由にインジェスト、保持、分析

Elasticセキュリティに新たに登場した最新機能は、XDRがサイバーセキュリティの現場にもたらす可能性を明確に示します。 単一のプラットフォーム にSIEMとエンドポイントセキュリティ機能が搭載されており、ユーザーは多様なソースから大量のデータをインジェスト、保持できるほか、データを長期に格納、検索して検知と機械学習を活用する脅威ハンティングを強化できます。

セキュリティベンダーが“XDR”という用語を使う頻度は高まっていますが、現状ではそれぞれのテクノロジーの都合に合わせて、多様な定義が適用されています。XDRは、EDR(エンドポイント検知と対応、Endpoint Detection and Response)の進化形として登場し、Extended(拡張された)の“X”をつけることで、調査プロセスにおける多様なデータソースへのニーズを端的に表現しています。 ベンダーにより定義は異なりますが、コアなコンセプトとして次の内容を挙げることができます。

  • 可視性:データの指数関数的な増加に伴い、セキュリティ担当者の業務はますます困難になっています。担当者は、分析、根本原因の特定、解決案の策定を実施する一元的な場を求めています。
  • 分析:データを一元的に収集する場合、データスワンプは生じません。XDRはまったく新たな分析のユースケースを大規模に構築して実現し、かつ監視するためのフレキシブルなフレームワークであるべきです。またアナリストが用いる複数のワークフローがシームレスに統合され、XDRで攻撃ナラティブの優先付けと構築を実行できることも必要です。 
  • 対応:XDRは一元的なソリューションであり、レスポンシブでなければなりません。攻撃から回復するための手段は必要ですが、攻撃前に防御できれば、それが最上のシナリオです。ランサムウェアをただ“検知”しても、組織の助けにはなりません。ネイティブなエンドポイントセキュリティが動作すれば、MTTR(平均復旧時間)を短縮し、ゼロを目指すことができます。

突き詰めると、ElasticによるXDRの定義は次の通りです。

XDRはセキュリティオペレーションをモダナイズし、全データにわたる分析と主要なプロセスの自動化を実現して、すべてのホストに防御と修復機能を提供する。

XDRという用語を目にしたElasticユーザーの多くは、「すでに自社のセキュリティプログラムにある内容だ」と感じるかもしれません。 「複数のデータソースから収集し、大規模に分析して、その情報から脅威を検知し、対応プランを構築、さらに修復を実施する」というコンセプトは、実際、SOC(セキュリティオペレーションセンター)の方針そのもののように見えます。XDRが標榜しているのは、この作業の大部分をカプセル化して1つのソリューションにまとめ、トリアージ、調査、エスカレーション、対応からなるアナリストのワークフローを可能な限り手助けして促進すること、究極的には、この能力をより多くのユーザーに供給することです。攻撃者はSOCに限らず、あらゆる対象を標的にします。こうした容赦ない攻撃に対して、XDRはエンタープライズ組織だけでなく、まだ堅牢なセキュリティプログラムを導入していない組織も戦えるよう支援します。

ElasticがEPPベンダーのEndgameを合併した際、シャイはすべてのユーザー向けにSIEMとエンドポイントセキュリティを統合するというビジョンを公開しました。セキュリティ機能の“民主化”が進めば、大企業だけでなく、あらゆる人が高度な脅威に対する防御、検知、対応を実施することが可能になります。合併以来Elasticが歩んできた道は、一般提供(GA)のエンドポイントセキュリティ機能を、セキュリティ分析/SIEM機能と同一のユーザーエクスペリエンス上に導入するという今回のリリースへと通じています。この“SIEMとエンドポイントセキュリティソリューションの一体化”が、XDRです。

XDRという比較的新しい市場で、Elasticはユニークな存在感を放っています。その理由として、Elasticのソリューションが無限であることが挙げられます。

“X”はExtended(拡張)のX

無限の可視性

エンドポイントセキュリティプロダクトを改良して作られたXDRソリューションは一般的に、エンタープライズで使用する大量かつ多様なデータソースをインジェスト、および保持するためのスケーラビリティを備えていません。Elasticセキュリティに新たに登場した最新機能は、XDRがサイバーセキュリティの現場にもたらす可能性を明確に示します。 現時点で数百種類の事前構築済み統合機能のデータをElastic Common Schema(ECS)にマップできますが、これに加え、Elasticのユーザーコミュニティが新たな拡張機能を継続的に開発しています。またユーザーは、Logstashを使ってあらゆる種類のカスタムデータ収集を行うことが可能です。 単体のインストーラー、Elastic Agentは数百種類の統合機能をサポートし、1クリックでまったく新たなユースケースに対応します。

無限のデータ

攻撃者のドゥエルタイムは、多くのSIEMやXDRシステムが現在サポートするデータ保持期間をはるかに超えています。仮にデータがそれらのシステムに保持されていたとしても、分析速度が遅く、作業が停滞するというのが典型的なパターンです。Elasticを利用する場合は、Amazon S3などのオブジェクトストレージに格納した数年分のFrozenデータを検索や脅威インテリジェンス、ダッシュボード、レポート等に活用して、アクションを講じることができます。データの時間範囲を2週間から2年間に変えるだけで、アナリストはすぐに結果を手にすることができます。

“D”はDetection(検知)のD

無限に分析

脅威は常に進化しています。脅威を検知して停止させるには、深層での防御が必要です。Elasticは多数の検知レイヤーを構築し、ユーザーの全データに対応します。具体的には、無数のデータソースを横断する相関付けから、数年分の情報と機械学習モデルが検知した異常に適用される脅威インテリジェンスまで、多層的に検知します。Elasticチームは数百にも及ぶMITRE ATT&CK®準拠の検知、ならびに機械学習ジョブも提供しており、ユーザーはDay 1から確実にバリューを引き出することができます。 

検知機能開発の門戸は広く開放されており、ユーザーが開発チームと直接連携できるようにしたり、Elasticコミュニティのナレッジをシェアしたりする取り組みが行われています。Elasticの階層的な検知エンジアーキテクチャーでは、前回の検知を分析し、高度な攻撃の進行状況を確認する新規の検知ルールを構築することも可能です。多くの組織は多様な地理的領域とクラウドプロバイダー、リージョンにわたりデータを収集しています。その情報のバックホールには高い費用がかかり、非効率です。Elasticのクラスター横断検索を使うと、ユーザーはリージョンやプロバイダーを越えてデータを転送することなく、マルチクラウド環境でデータを検索し、あらゆる分析を実行することが可能になります。

“R”はResponse(対応)のR

検知された問題は最終的に、すみやかに解決する必要があります。最先端の修復を実践するには、エンタープライズ全体でアクションを講じる能力が必要です。つまり1つのプロセスをキルするだけではなく、ユーザーを無効化してサーバーからメールを移行したり、ファイアウォールで悪意のあるドメインをブロックしたりする、ということです。アナリストは、共同作業による調査のほか、修復計画の策定や実施、完了報告を行うためのシンプルで直感的な手段を必要としています。 

Elasticのソリューションには、無料かつオープンなケースマネジメント機能が搭載されています。ユーザーはケースの特徴を糸口に、チームでコミュニケーションやコラボレーションを進めることができます。さらにケースをServiceNow ITSM、ServiceNow SecOps、IBM Resilient、JIRA、Swimlaneなど修復に使われる主要なベンダーとシームレスに統合し、規模を問わずビジネスの既存の修復ワークフローに組み込むことが可能です。この他にElasticは、APIファーストを掲げる開発およびWebフック機能も提供しており、他の生産性ツールとの統合に対応しています。

もちろんElastic Agentも使えます。Elastic Agentはデータ収集と、悪意のあるファイルを自動で隔離してランサムウェアを停止させるなどのポリシー強制を連動させる一元的な手法となります。修復のフェーズで、ユーザーは各OS(Windows、macOS、Linux)上のosquery管理機能を活用し、インシデントプロセスに必要な補足情報を収集することができます。攻撃を特定すると、ユーザーが対応プランを構築している間、WindowsおよびmacOSに対応する1クリックのシンプルなホスト隔離機能が発動し、敵によるデータ窃盗とデータ破壊を停止させます。この対応はユーザーモードファイアウォールには及びませんが、カーネルレベルの制御を実装して攻撃者によるデータ改ざんを防ぎます。 

“A”はAutomation(自動化)のA

一連の可視性向上に加え、XDRが満たすべき条件として、アナリストのプロセスを自動化することで、かけ離れたデータソース全体で確実に効率化に貢献することがあります。アナリストのワークフローが成立し、大規模に適用されるとき、そこでは多数の機能が動作しています。

  • 1クリックのデータインジェスチョン:セキュリティチームは、クラウドインフラやSaaS認証プロバイダー、エンドポイントセキュリティプロダクトなど、企業で使われる新規データソースの監視を定期的に求められます。アナリストはデータのバリューを見出すことに時間を費やす必要があり、インジェストパイプラインの構築に時間を割くべきではありません。Elastic Agentはデータをインジェスト、正規化し、ダッシュボードやモジュール、ルール等に適用するための高速かつ簡単な手段となります。 
  • 全データソースを横断し、検知をスケールさせる:多種類のパワフルな検知にとどまらず、将来の脅威に備えて、質の高い検知が絶えず確実に供給され、アップデートされる必要があります。Elasticチームは積極的に活動する素晴らしいコミュニティと連携し、オープンな検知ルールrepoの更新を行っています。
  • アナリストの判断の高速化を支援:データソースが増加の一途を辿っており、かつ、そのソースを対象とする検知機能も増加することから、アナリストのワークロードの増加は避けることができません。まずXDRに求められるのは、アラートを発するだけでなく、どのアラート(またはアラート群)を最初に調査すべきかを提示する機能です。Elasticのソリューションはあらゆるデータソースのコンテクストを用いて環境内のホストのリスクをスコアリングし、ビジネスにもたらすリスクの高さに基づいて検知結果を優先付けします。次に、ElasticのXDRは以前の検知結果やケース、脅威インテリジェンスを活用してアラートをエンリッチします。これにより、エスカレーションすべき事象がある場合に、アナリストがより簡単に判断することができます。3つ目のポイントとして、アナリストは最短時間で解決に辿りつくため、次の手順のガイダンスを必要としています。Elasticのソリューションは検知向けの調査ガイダンスを提供し、アナリストが最も役立つ次の手順を理解する手助けとなります。

Elasticが提供する無料かつオープン、無比のXDR

使用量の制約なし

リソースベースの料金体系であれば、ユーザーはフレキシブルなライセンスを使って費用を自由に管理できます。硬直的な料金体系のために、重要な目標を妥協したりするべきではありません。Elasticのソリューションを使用するにあたり、ユースケースやデータ量、エンドポイントの数は関係ありません。費用は使ったサーバーリソースの分だけです。ユーザーが費用を事前に予測でき、またニーズに応じてフレキシブルに調整できるメリットがあります。

 Elasticセキュリティ のミッションは、世界中のデータを攻撃から保護することです。未来の攻撃から世界中のユーザーを確実に保護するため、Elasticは絶えず保護の分野にイノベーションを起こしています。ElasticのソリューションはSIEM、エンドポイントセキュリティ、XDRの機能を無料かつオープンに、単一のプラットフォームで提供します。このプラットフォームは無限の分析を実現するために開発され、組織に損害が生じる前に防御、検知、対応を実行することができます。

 Elasticセキュリティの新規導入を検討中の方は、Elastic Cloudで最新バージョンのE lasticsearch Service を無料でお試しいただくことができます。 


XDR-vision-roadmap.png