専門家によるマネージドサービスをパッケージした「ESET PROTECT MDR」の狙いを聞く

EDR/XDRを「導入しても使いこなせない」企業が増える理由と対処法

文●大塚昭彦/TECH.ASCII.jp 写真● 曽根田元

提供: キヤノンマーケティングジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 サイバー攻撃の高度化、複雑化に伴って、防御側では数年前からEDR/XDR(Endpoint/eXtended Detection & Response)という新たなカテゴリのセキュリティ対策ソリューションが登場している。エンドポイントやその他の詳細なイベントログを収集/統合して、侵入者による不審なふるまいを早期に検知し、迅速な対応につなげる――というのがその狙いだ。

 しかし現実には、EDR/XDRを導入した企業において「使いこなせていない」事例も数多く見られるという。そうした課題を解消するために、キヤノンマーケティングジャパン(キヤノンMJ)では2022年9月から、専門家による支援(マネージドサービス)もパッケージした、ESETのXDRソリューション「ESET PROTECT MDR」を提供開始している※注

※注:キヤノンMJは、スロバキアに本社を構えるESETのエンドポイントセキュリティ対策「ESETセキュリティソリューションシリーズ」の国内総販売代理店を務める。

 なぜ多くの企業がEDRやXDRを「使いこなせない」のか、ESET PROTECT MDRではどのように解消するのか。本記事では、ESET PROTECT MDRの製品企画を担当するキヤノンMJの井上弘紀氏に話を聞いた。

キヤノンマーケティングジャパン セキュリティソリューション企画本部 セキュリティソリューション企画部の井上弘紀氏

EDR/XDRによる「侵害後」の対策が必要となった理由

 そもそもなぜ、EDRやXDRといった新たなセキュリティ対策手法が必要となったのか。それは攻撃手法が高度化したことで「侵害を100%防ぐことはもはや不可能」になったからだと、井上氏は説明する。そうした状況変化のために、侵害を未然に防ぐエンドポイント保護(EPP)製品に加えて「侵害を受けた後の対策(事後対策)」を行うためのEDR/XDRが必要となった。

 「簡単な例で言うと、マルウェアを使った攻撃であればEPPで検知できますが、近年の高度化した攻撃はそういう手法だけではありません。正規のアプリケーションを使って、特定のターゲット企業環境においてのみ攻撃行動を起こすといったものもあります。ですから、従来の対策で侵害を100%防ぐというのは困難になっているのが現状です」

 EDR/XDRは、エンドポイント上でのアプリケーションやプロセス、ネットワーク通信といったあらゆるログを収集/統合して、不審なふるまいを検知したらアラートを出し、迅速な対応につなげるためのソリューションである。最初の侵害が防げなかったとしても、攻撃が拡大する前にその動きを食い止めることができれば、攻撃者の最終目標である「機密情報の持ち出し」などの被害は防げる。

 ちなみに「XDR」の定義はベンダーによりさまざまだが、ESETではエンドポイントの情報(アプリケーションやプロセスの実行状況など)以外の情報、具体的にはネットワーク通信などの情報も含めて収集/統合し、検知に用いるものと定義している。つまり、EDRよりも幅広いレイヤーからの情報を活用して、不審なふるまいをより感度高く検知しようというのがXDRだ。

EDR/XDRは侵害を受けた後の迅速な検知と封じ込め、調査、復旧を実現するソリューションとして注目されている

EDR/XDRが使いこなせない理由、「むしろ導入してからが本番」

 こうした新しいコンセプトで登場し注目を集めたEDR/XDRだが、導入後に「使いこなせていない」企業が多いと井上氏は指摘する。

 「ESET社がグローバルで調査したところ、XDRを導入している組織の53%が『大量のアラートに対応しきれない状況』との結果でした。日本でも同様の調査を行っていますが、おおむね半数が『せっかく導入したけど使いこなせていない』あるいは『運用に課題がある』と回答したそうです」

 EDR/XDRを自社運用するうえで最大の課題は「大量のアラート」である。ESET社による上述のグローバル調査によると、「1日に1万件以上のアラートが出る」組織が55%、「1日に100万件以上のアラートが出る」組織が27%だったという。たとえ社内に専任のセキュリティ担当者がいたとしても、それだけの件数に対応することは非常に困難であろう。

 もちろんこうした大量のアラートは、「何を不審なふるまいと判断するか」というEDR/XDRの設定をチューニングすることで減らせる。ただし、このチューニング作業も非常に難しいと、井上氏は説明する。

 「導入時にはまず、本当の脅威だけをあぶり出せるようにセッティングを行う必要があるのですが、顧客組織の環境に合わせてチューニングをするためには高いスキルと豊富なナレッジが必要です。あまり設定を緩くすると本当の脅威も見逃しかねませんし、逆に厳しくすると何百万件もアラートが出ることになります」

 具体的にどのような設定をすべきなのかは、業務で利用するアプリケーション、あるいはネットワーク環境(社内かリモートワークかなど)などの細かな違いによって、組織ごとに異なってくるという。加えて、たとえば業務アプリケーションのバージョンアップなどでも設定変更が必要になる場合もあるなど、チューニング作業は運用開始後も続くことになる。

 こうした運用の大変さから、EDR/XDRを導入した企業で「使いこなせていない」ケースが多発しているわけだ。

 「EDR/XDRはこれまでのセキュリティ製品以上に、『入れたらそれで終わり(対策完了)』という製品ではない点に注意が必要です。むしろ『導入してからが本番』だと言えるでしょう」

XDRの導入と運用を専門家がサポートする「ESET PROTECT MDR」

 こうしたEDR/XDRの課題を解消すべくキヤノンMJが提供を開始したのが、ESET PROTECT MDRである。ESETシリーズの総合的なエンドポイント保護(EPP)、クラウドサンドボックス、フルディスク暗号化、XDRの各プログラムに加えて、XDRの運用をサポートするMDRサービス、プレミアムサポートサービスが付属するパッケージだ。500ライセンス以上の中堅/大企業向け製品と位置づけられている。

ESET PROTECT MDRのパッケージ全体像。XDRだけでなく「事前対策」を強力に行うためのエンドポイントセキュリティのプログラムもパッケージされている

 ESET PROTECT MDRは、XDRの運用をどこまでをサポートしてくれるのか。これについては、導入時のチューニングから24時間365日の脅威監視をはじめ、アラートの分析、対処が必要なアラートの顧客組織への通知、さらにインシデントの初動対応(一次対応)までをカバーすると、井上氏は説明する。XDRに対して豊富な知見を持つキヤノンMJとESETの専門家がサービスを提供するため、安心して任せることができる。

 「たとえばお客様自身でチューニングを行っても、それが本当に適切な設定かどうかは判断が難しいと思います。我々には十分なナレッジがありますから、適切なチューニングをお手伝いすることが可能です。さらに、お客様自身がチューニングした結果を我々が確認し、フィードバックするサービスもあります」

 XDRが出すアラートについても、すべてを顧客に通知するわけではなく、あらかじめ顧客との間で取り決めたレベルに基づいて通知を行うという。これにより、担当者の“アラート疲れ”を防ぐことができるわけだ。さらに、インシデントが発生した場合の初動対応も、顧客との事前の取り決めに基づいて行う。

 「インシデントだと判断した場合、その脅威を取り除くだけでなく、侵入経路や影響範囲も調査する必要があります。このあたりも、たとえXDRのツールを導入されていても慣れていなければ難しく、工数と時間がかかる部分だと思います。我々にお任せいただけるのであれば、脅威検知のアラートが上がったことをお知らせするのと同時に、すぐさま初動対応や調査を開始することも可能です。つまりこのサービスには、インシデント対応や再発防止の対策までもが含まれています」

ESET PROTECT MDRのマネージドサービスによって、XDRの運用負担が大幅に軽減される

 なおサービスの窓口はすべてキヤノンMJが担当するため、顧客とのやり取りは国内で、すべて日本語で行える。またXDRだけでなく、パッケージされたすべての製品サポートが同じ窓口で受けられるので(プレミアムサポートサービス)、問い合わせ先が分散せずに済む。このあたりもワンベンダー/ワンパッケージですべてが提供されるメリットであり、緊急時のやり取りを考えると安心材料と言えるだろう。

 「XDRはEPP製品からデータを収集して分析するわけですから、EPPも含めた全体をしっかり運用しておく必要があります。ソフトはインストールされているのに、現場のユーザーが勝手に無効にしていた――といったことがないように、我々のほうからプログラムが正しくあるべき姿で機能しているかどうかをチェックするサービス(ヘルスチェックサービス)も提供しています」

* * *

 XDRをマネージドサービス付きで提供することにより、顧客組織の担当者における負担は大幅に減ることになる。またXDRに対するナレッジがあまりない場合でも、導入や運用が進めやすそうだ。井上氏も、ESET PROTECT MDRを提供することで「これまで導入に躊躇されていたお客様も、一歩踏み出しやすくなったのではないか」と語る。

 「ESET PROTECT MDRの発表後は、特に新規のお客様から多くお問い合わせをいただいています。XDRの導入は考えていたが自社に見合うものがなかなか見つからなかった、これならば導入しても運用できそうだという反応ですね。またXDRとマネージドサービスがワンパッケージで、ひとつの窓口で対応できるという点も評価をいただいています」

 これまでEDR/XDRとエンドポイントセキュリティ、さらにマネージドサービスの提供窓口がバラバラで、問い合わせに苦労するようなケースもあったはずだ。したがって、すでにEDR/XDRを導入しているが「使いこなせていない」組織に対しても、乗り換えの検討をお勧めできるソリューションだという。

 「ESETのXDRは、EPPなども統合されている管理コンソールから確認できるので、情報も見やすい。もしXDRとEPPを異なる製品の組み合わせで導入していると、複数の管理コンソールで情報を確認することになり、確認に時間がかかることが想像されます。そうした観点からも、やはり統合されていることのメリットは大きいと思います」

(提供:キヤノンマーケティングジャパン)

この記事の編集者は以下の記事もオススメしています