01. 新型コロナウィルス(COVID-19)、そしてセキュリティ監視体系の変化

ワクチン普及により、新型コロナウィルス(COVID-19)パンデミックは終結されるのではないかと期待されるが、アルファ株、デルタ株、オミクロン株と変化し、全世界を震撼させたこの原因不明のウィルスは、いつの間にか我々日常の一部として受け入れられることになった。

そしてこれは個人の生活に限らず、経済全般に影響を及ぼし、多くの変化を引き起こした。ウィルスのパンデミックが終焉を迎えても状況は回帰しない。つまり新型コロナウィルスが与えた変化は不可逆的であるという考えでセキュリティ業界もこれに備えた運営方法（SOC運営方法）を一生懸命探している。

これまでのセキュリティ監視と、これからのセキュリティ監視

過去のセキュリティ監視は城の防御概念と似ていた。保護するのは資産を中心として長い城壁で囲んで誰も中に入れないようにする、ネットワークを基盤とした城壁式セキュリティ体系が一番基本的だった。

しかし、多様なITインフラの活用によって情報資産に対するアクセス経路と方法が多様になったため、以前は存在しなかったセキュリティ脅威が登場し攻撃者に割り込まれる隙間が多くなった。オフィス勤務と仮想専用線（VPN）を介したリモートワーク・テレワークを並行する使用者をターゲットにしたアカウント奪取攻撃も登場した。
そして、ITだけではなく、クラウドと制御系運用技術(OT：Operational Technology)や、モノのインターネット(IoT：Internet of Things)環境を狙うサイバー攻撃はコロナ時代超え今後さらに進化した形で登場するとみられる。

これからのセキュリティ監視で注目される「XDR」とは

こうした多様な環境に対するセキュリティ脅威への対応として「XDR」が注目されている。
「拡張された検知と対応」を意味する XDR (Extended Detection and Response) は、EDR (Endpoint Detection and Response) と似ているが、EDR はエンドポイントの脅威を検知・対応するための技術で、XDRは全てのところで脅威を検知し対応するものである。
エンドポイントの脅威だけではなくクラウド、IoT、ネットワークなどIT・OT全体に発生する脅威を検知して連携分析するもので、より拡張された概念でXDRが定義できる。

新型コロナウィルスで始まった今までにない変化の時期に注目されている XDR を統合セキュリティの側面からみて、今後SOCとセキュリティ業界が進むべき方向性について考えてみる。

02.統合セキュリティ監視とXDR

統合セキュリティ観点で XDR をどのように適用ができるかを調べる前に、まずは既存のセキュリティ監視プロセスを確認してみる。

統合セキュリティ監視の業務プロセスは一般的に「収集、検知、分析、対応、管理」の五つの段階で区分される。
より具体的にすると、▲どのようなデータを収集して、収集されたデータの保存や管理はどのようにするのか、といったことに対する「収集(Collection)段階」、▲どのように早く検知して検知ポリシーの管理はどのようで行うか、といったことに対する「検知(Detection)段階」、▲どのように対応し、対応範囲をどのぐらい広げるか、ということに対する「対応(Response)段階」、▲どうやって統合的に管理してその管理範囲を広げられるか、といったことに対する「管理(Management)段階」といった段階的工程で統合セキュリティ監視が行われる。

【▲ 統合セキュリティ監視プロセス】

それでは、「拡張された検知と対応」と言う XDR の概念を基にして統合セキュリティ監視プロセスの各段階を再確認すると以下の通りになる。

1) 収集拡張(Extended Collection Target)

収集分野の拡張は、SOC運用の中で必須的なFW, IPS, AV（アンチウィルス）のようなセキュリティシステムから、エンドポイントのためのEDR、ネットワークパケットの分析のためのNDRまで、SOC運用範囲自体を拡大することで多様な基礎データの確保ができる。
また、ITだけではなく、クラウド、IoT、OTまで収集範囲を広げることで融複合的なSOC運用が実現できる。

2) 検知拡張(Extended Detection, Analysis and Response)

検知分野の拡張は、基本的な閾値基盤とパターン基盤の検知、SIEMを利用したビックデータ基盤の相関分析検知から、AI技術を活用した異常行為に対する検知をすることで、その範囲を拡大することができる。既存検知技術及び方法では検知できなかった未知の脅威や最新脅威、異常行為などをAIアルゴリズムで識別することで日々高度化されるセキュリティ脅威の対応の所要時間を大きく短縮することができる。

【▲ AI統合セキュリティ監視システム】

3) 脅威インテリジェンス分析拡張(Extended Information & Intelligence)

分析分野の拡張は、SOCで運用中の検知基盤機器のイベントだけではなく、サイバー脅威インテリジェンス(Cyber Threat Intelligence)の連携で国内外の脅威情報と、資産情報とその脆弱性情報などを分析システムに統合提供することで、分析範囲及び正確度を高めることができる。検知されたイベントに脅威インテリジェンスをつなぎ合わせて、新変種のセキュリティ脅威と連携されているか確認するなど高いレベルでの分析体系が構築できる。

4) 対応拡張(Extended Response)

デジタル転換が加速することによって既存のセキュリティ体系では予測しにくい複雑なサイバー攻撃が増加している。石油パイプラインハッキングなど国家インフラ施設を狙う攻撃は更に巧妙化しその頻度も高くなっている。しかし、このようにサイバー攻撃は日々進化しているが、SOCはまだ専門家による手動対応が中心の運用に止まっている。その為、SOAR(Security Orchestration, Automation and Response：セキュリティオーケストレーション・自動化及び対応)のプレイブック(Playbook)基盤で自動化された対応実現が対応分野での拡張の重要技術として注目されている。

SOARは、ソリューション、業務プロセス、脅威情報など多数の要素を一つのプロセスに結んだプレイブックを基盤として単純に繰り返すプロセスを標準化したプロセスによって自動処理することで、対応の過程と時間を短縮し、脅威判断及び対応品質の高度標準化ができる。

【▲ プレイブック(Playbook)を介した自動対応】

5) セキュリティ監視領域拡張(Extended Managed Security Spectrum)

セキュリティ監視分野の拡張は、SIEM を中心に国内外の異機種セキュリティソリューション及び業務システムを連携し、SOC環境から収集及び検知するだけではなく、API連携などで遮断や隔離の処置まで一括して実施までできるようにするセキュリティ監視オーケストレーション(Orchestration)の実現を意味する。

【▲ セキュリティ監視オーケストレーション(Orchestartion)】

上記のように各段階の拡張性を含めた新たなXDR統合セキュリティ監視プラットフォームは次のように言える。
セキュリティ監視プロセスの各領域の深さと広さの拡張を目標に様々なソリューションを統合することで、急変する環境の中でより効率的で、より効果的なSOC運用ができるように一層強化された統合セキュリティ監視体系を完成したものである。

【▲ XDR統合セキュリティ監視プラットフォーム】

03. 最後に

まだXDRは初期市場であるため、明確な定義や範囲に対する色々な意見があり、どの意見が合っていると断言もできない。
しかし、全ての新技術が同じように環境と市場が要求する通り、また期待と現実の間は、ある程度の妥協品から時間の流れに自然に定着するものと考えられる。そして、最初ITに限られていた適応範囲は徐々にクラウド、OT、IoTなどに拡大し、今後はこのような環境を緊密に統合できるプラットフォームで、安定的なSOC運用のための基本的セキュリティ監視体系が発展することを期待する。