前回までのブログでは、XDR の登場と他のセキュリティソリューションとの差別化、そしてそのユースケースと MITRE ATT&CK フレームワークの役割について説明しました。XDR ミニシリーズの最終回となる今回のブログでは、XDR ソリューションを導入しようとする際に組織が直面する可能性のある課題について説明します。
XDR の導入
他のセキュリティソリューションと同様に、新製品を導入するには、変更に抵抗感のある利害関係者からの内部的な 賛同を得る必要があります。結局のところ、中堅企業が 50~60 のセキュリティ製品を使用している場合と、企業が 130 のセキュリティ製品を使用している場合では、CISO や主要な意思決定者が、別のセキュリティソリューションを購入することが価値のある努力になると、チームの残りのメンバーを説得するのは難しいかもしれません。さらに、XDR が克服しなければならない最大のハードルは、サーバ、電子メール、エンドポイント、ネットワーク、クラウドのワークロードを含む複数のセキュリティ層にまたがる検出やその他の活動を収集し、関連付けることです。ガートナー社の副社長アナリスト、ピーター・ファーストブルック氏は「データの一元化と正規化は、より多くのコンポーネントからのソフトな信号を組み合わせて、他の方法では無視される可能性のあるイベントを検出することで、検出率を向上させることにも役立つ」と述べています。XDR の最も強力な機能は、最初の侵害から横移動、機密情報の流出に至るまでの完全なストーリーを提供できることです。これは、セキュリティ層から共通のデータレイクに正確な情報が流れ込むことにかかっています。
限定的な自動化
サイバーセキュリティの分野では、最大の制約は時間です。リソース(人材、資本)が停滞している一方で、侵害の件数は毎年指数関数的に増加しており、セキュリティプロセスの自動化が広く採用されるようになってきています。(限られたリソースで)最小限の時間で最大限のことを行うことが、ほとんどのセキュリティ組織の成功の基準となっています。人工知能と機械学習を組み込んだ XDR は、手作業をさらに減らし、不足しているセキュリティアナリストを可能な限り効率的にすることを目的としています。しかし、XDR のメリットを享受するには時間がかかります。XDRソリューションの初期導入(これだけでもかなりの時間がかかる)に続いて、機械学習モデルは、検出能力を強化するために、時間をかけて知識を得て改良する必要があります。XDRソリューションを採用してすぐにROIを実現するのは現実的ではないかもしれません。
既存の投資との統合
XDRの最も顕著な価値ある小道具の1つは、SOCアナリストに求められる重労働を最小限に抑えることです。今年初めに発表されたPonemonのレポートによると、回答者の70%が、SOCアナリストは高圧的な環境と作業量のためにすぐに燃え尽きてしまうことに同意しています。組織内のSOCが1日に最大10,000件のアラートを受信できるのに対し、アナリストは1日に100件しか検証できず、正当なインシデントを特定するために膨大な量の情報を吟味することに大半の時間を費やしていることがわかります。理想的なシナリオでは、XDRソリューションはSOCプロセスに革命をもたらす万能薬となるでしょう。しかし、この分野はまだ黎明期にあり、すぐに使える製品を提供しているXDRベンダーが限られているため、XDRソリューションは既存のSOC技術に依存する必要があります。現代のSOCを構成する既存の技術との統合は、XDRソリューションの必要な特徴であり、難しいかもしれませんが、相互運用性と革新性という捉えどころのないバランスを見つけることが、実装を成功させる鍵となるでしょう
もっと詳しく知りたい方は、VMworld Japan のセキュリティ関連のオンデマンドセッションをご視聴ください。多数のコンテンツを取り揃えております。
お問い合わせは、こちらまでご連絡ください。
Info JP VMware Carbon Black : [email protected]
