最新のセキュリティ対策 ~XDR~
かつてはトレンドマイクロ社のウイルスバスターのようなAV(アンチウイルス)ソフトウェアが各自の端末にインストールされて、マルウェア(ウイルス)からPCを守っていました。
一方、ネットワークはFW(ファイアウォール)で境界防御をすることで外部からの攻撃からネットワークを守っていました。
昨今では様々な攻撃手法の登場により、より高度な仕組みを持ったソフトウェアを活用して対応するようになってきましたので、それらの概要を簡単に説明してみたいと思います。
ざっくりとした全体像イメージ
保護対象領域とインシデントレスポンス対応範囲で分類するとおよそこんな感じになるとなります。
インシデントレスポンス対応範囲は、言い換えると攻撃に対しての事前・事後対応の事を指します。
実際のところは各ソフトウェアの境界は曖昧であり、より広く対応するように機能を拡張していたりします。
端末・サーバへの対応
EPP(Endpoint Protection Platform)
AVが主に既知のマルウェアに対して防御(シグネチャベースで検知)するのに対して、EPPは未知のマルウェアに対しても防御(振る舞い検知)可能な特徴を持っています。
また、AVの派生で振る舞い検知をするNGAV(Next Generation Anti-Virus)というソフトウェアもあります。こちらはEPPと同義に使われる場合が多いです。
EDR(Endpoint Detection and Response)
EPPが準備(防御)を主な役割とすると、EDRは侵入(攻撃)前後から被害の拡大を防止する事が主な役割となります。
侵入される前提で対策を検討するというゼロトラストの思想に従ったソフトウェアとなり、昨今ではクライアント端末にインストールされるセキュリティソフトウェアの定番になっていると思います。
ネットワーク網への対応
NIPS/NIDS(Network Intrusion Prevention System/Network Intrusion Detection System)
外部からの不正な通信を検知・防御します。既知の不審な通信を(シグネチャーベースで検知)防御する方式が一般的です。
NDR(Network Detection and Response)
外部からの通信に限らず不審なネットワーク通信を(振る舞い検知)防御して被害拡大を防ぎます。
侵入される前提で対策を検討するというゼロトラストの思想に従ったソフトウェアとなり、特に重要なネットワーク領域に配置することを想定しています。
XDR(Extended Detection and Response)
EDR、NDRともにそれぞれが単独で領域を守るのに対して、サイバー攻撃はそれぞれを交互に行き来して少しずつシステムを掌握していこうとします。
そのような攻撃に対しては、EDR、NDRそれぞれ単体では全体を把握しきれず、対応が後手になってしまう可能性があります。
また、産業のDX化が進む昨今ではIT領域とOT領域(工場など産業システム)の相互連携が一般的になりつつある一方で、両者を包括的に守る必要性を求められてきています。
XDRとはあらゆる情報を元に、重要なセキュリティインシデントを防止することが出来る優秀なソフトウェアとなります。
~以下宣伝です~
MXDR(Managed XDR)
株式会社オープンストリームではXDRをさらにマネージド提供するMXDRサービスの取り扱いを始めています。
高度な攻撃の対応にあたっては、早急にその痕跡の検出と対応が必要となります。そのためには、非常に高度な知識と経験が必要となり、その点を強力に支援する事が可能なサービスとなります。
興味がありましたら、是非、お声がけください。