———————————————————————————————————————————————————————————–
本稿は 2023 年 4 月 18 日に VMware Blog のブログに投稿された「 XDR: Identity Matters – Who You Know is As Important as What You Know 」の抄訳です。
投稿者:ジャスティン・ファルク(Justin Falck)
———————————————————————————————————————————————————————————–
言うまでもなく、エンドポイント セキュリティは最新のサイバーセキュリティに欠かせない要素です。そして多くの場合、エンドポイント セキュリティ ツールは最初で最後の防衛線として機能します。エンドポイント セキュリティが重点を置いているのは、サーバとワークロードに加え、エンドユーザーのワークステーションやラップトップなど、企業ネットワークおよび SaaS アプリケーションへのアクセスで使用されるあらゆるデバイスを保護することです。
一般的に、エンドポイント セキュリティは市場が成熟しており、理解の進んだ分野と見なされています。たとえば、マルウェア攻撃や非マルウェア攻撃に対する防御(次世代アンチウイルス(NGAV))、エンドポイントのセキュリティ ベースラインの状態および脆弱性の監視と管理、エンドポイントのホストベース ファイアウォール(HBFW)の管理、攻撃の検知と対応(Endpoint Detection and Response(EDR))などは、いずれも広く浸透しています。Carbon Black には、これらすべてについて優れた機能が用意されており、VMware のプラットフォームである VMware Carbon Black Cloud を通じて利用することができます。
しかし現状として、脅威アクターはセキュリティ ツールを回避しようと絶えず適応し、進化し続けているため、セキュリティ ツールやプロセスもそれに合わせて進化させる必要があります。これこそが、VMware Carbon Black が EDR から Extended Detection and Response(XDR)に進化を遂げた原動力です。この進化により、私たちはお客様やパートナー様が常に最新の脅威に先手を打って対処できるよう、引き続き、確かなサポートを提供できるようになりました。
XDR を端的に説明するなら、EDR に起こるべくして起こった進化だと言えます。XDR では、従来 EDR で提供されていたプロセス関連のテレメトリに加えて、ID やネットワークなどのテレメトリ タイプが提供されます。テレメトリ タイプが増えたことで信号の精度が高まるとともに、不審なアクティビティを検知する新たな手段が加わり、平均検知時間(MTTD)と平均対応時間(MTTR)が短縮されます。VMware Carbon Black XDR では、ネットワーク構成を変更したり、ソフトウェアやハードウェアを追加でインストールしたりしなくても、ID やネットワーク、EDR テレメトリをネイティブに収集して分析できます。
EDR、ネットワーク、ID テレメトリは XDR の柱としてどれも等しく重要ですが、このブログ記事では、ID が重要な理由に焦点を当てます。なお、ネットワークについては、今後のブログ記事で詳しく紹介する予定です。
攻撃者に対して先手を打つには、だれが、どこから、どのデバイスでネットワークにアクセスしているかを明確に把握することが不可欠です。というのも、実際に、ユーザー アカウントや ID の新規作成、アカウントの乗っ取り、権限エスカレーションを伴う攻撃が非常に多いことがわかっており、ここでユーザー認証の可視化が重要となってきます。
Carbon Black Cloud では、ログオン/ログオフ、失敗したログイン、アカウントのロックアウト、権限の割り当てといった、幅広いアイデンティティ インテリジェンスやユーザー認証アクティビティに関するイベントを収集できるようになりました。この機能により、だれが、どこから、どのデバイスを使ってネットワークにアクセスしているかについて、重要なインサイトを取得できます。VMware Carbon Black XDR では、これらのテレメトリを収集してインデックス化し、現在、お客様がプロセス(およびネットワーク)テレメトリを検索する際に使用しているのと同じ Carbon Black Cloud コンソールで検索することができます。悪意のあるユーザーは、認証情報を窃取または侵害することで機密データやシステムへのアクセスを試みることがありますが、Carbon Black Cloud のテレメトリを組み合わせたこの出力は、こうした攻撃を検知して防止するのに非常に有益です。
ユーザー認証の可視化とエンドポイント セキュリティを組み合わせることで、さまざまなメリットを享受できます。
- 不審なアクティビティを早期に検知:ユーザー認証を監視することで、エンドポイント セキュリティ プラットフォームが不審なログイン試行やネットワーク上の異常なアクティビティを検知します。この情報に基づいてアラートがトリガーされるため、セキュリティ チームは、潜在的な脅威が重大な損害をもたらす前に、早期に調査に着手できます。
- インシデント レスポンスの向上:ユーザー認証の可視化はまた、セキュリティ インシデントが発生した場合に重要な情報を取得するのにも役立ちます。インシデント発生時にログインしていたユーザーがわかれば、セキュリティ チームは、問題の発生源と思われる対象を迅速に特定し、その影響を抑制して緩和するための適切な措置を講じることができます。
- コンプライアンスの強化:コンプライアンス規制の多くは、機密性の高いデータやシステムにアクセスしたユーザーを追跡および監視するよう組織に要求しています。ユーザー認証の可視化により、こうした要件が満たされるため、コンプライアンス違反による高額な罰則を回避できます。
- アクセス コントロールの改善:ユーザー認証の可視化はまた、過剰なアクセス権限や不適切なアクセス権限を持つユーザーを特定することで、アクセス コントロールを改善するのに役立ちます。この情報によってアクセス ポリシーを調整し、セキュリティ侵害の可能性を回避できます。
セキュリティ担当者として、また 8 年以上にわたってセキュリティ製品を開発してきた 1 人として、私の最優先事項は、VMware のお客様やパートナー様、さらにその保護対象である組織が、最新の脅威から確実に保護されるようにすることです。Carbon Black Cloud にアイデンティティ インテリジェンスを搭載したことも、セキュリティ担当者が組織の安全を維持できるようにする支援の一環です。
皆様からのフィードバックに基づき、今後もこの機能をさらに進化させてまいります。詳しくは、デモをご予約いただき、Customer Advisory Board にご参加ください。RSA カンファレンスにお越しの際は、ぜひ VMware のブースにお立ち寄りください。
最新の脅威に先手を打って対処しましょう。