目次
多くのセキュリティソリューションがある中、ここ数年はEDR(Endpoint Detection & Response)とXDR(Extended detection and response)に注目が集まっています。
EDRとXDRは、サイバー攻撃によるマルウェアの「侵入を前提」としている対策であり、攻撃の痕跡調査、原因の特定、マルウェアの駆除を行うソリューションです。
今回は、EDRとXDRが注目され始めた背景や将来のトレンド、EDRとXDRを使いこなすための取り組みについて、SCSK株式会社(以下、SCSK)の高野氏と長尾氏にお話を伺いました。
(左から、SCSK株式会社、プロダクト・サービス事業グループ ネットワークセキュリティ事業本部 セキュリティプロダクト第二部 営業第一課の高野氏、技術課長尾氏。株式会社インテリジェント ウェイブ、セキュリティシステム本部 部長 靜間、営業本部 セキュリティ営業部 足立)
セキュリティ対策の考え方が変わりEDRやXDRが浸透
IWI 足立 : 近年のサイバー攻撃の影響で、日本企業のセキュリティ意識はどのように変化したと感じていますか?
SCSK 高野氏 : 経営層のセキュリティ意識が変化し、情報セキュリティ対策が経営課題として捉えられてきたのではないでしょうか。
多くの企業は以前、現場からのボトムアップでセキュリティ対策を検討していましたが、最近は経営層からのトップダウンに変化したと感じています。
また、セキュリティの意識だけではなく、対策の考え方にも変化がありました。
昔はサイバー攻撃を「防御」するという方向のみで対策を講じてきました。しかし、近年ではマルウェアに「侵入されることが前提」という考え方に変化し、対策を行っているのではないでしょうか。
セキュリティ担当者様の考え方が変化した影響で、EDRやXDRといったソリューションが浸透したと感じています。
少なくとも、ファイヤーウォールと従来型のアンチウィルスだけでは対策として不十分、という捉え方には進んでいると思います。
IWI 靜間 : そうですね。ここ数年で働き方も変化したことで、一定の境界線のみを堅牢にすれば良いという考え方も少なくなりましたね。
企業はサイバー攻撃を100%防御できず、境界線を超えてセキュリティ対策を行わなければならない。このように考えられた結果、今のところEDRやXDRに行き着いている形でしょうか。
IWI 足立 : 以前は、EDRやXDRへ興味持つのはエンタープライズ企業のみで、中小企業の方々が興味を持つことは少なかった印象です。
ただ、最近は中小企業の方々からも「Cortex XDR」のご相談が増えたこともあり、世の中のセキュリティ対策の考え方が変化したという実感があります。
EDRとXDRの次は運用の自動化がトレンドとなる
IWI 足立 : XDRのコンセプトは、2018年にPalo Alto Networks社(以下、パロアルトネットワークス)から造られて以降、日本国内でも広まりましたね。
XDRの前例のように、今後もパロアルトネットワークスの製品やラインナップは変化していくのでしょうか?
SCSK 長尾氏:ゼロトラストの考え方を製品に反映させたように、将来を見越す力は健在で、今でも製品やラインナップの変化に現れています。
例えば、最近ではSIEM(セキュリティ情報イベント管理)の手作業を自動化し分析範囲を拡大した「Cortex XSIAM」が追加されました。
IWI 靜間 : Cortex XSIAMは自動化を目指す究極系のソリューションですね。長尾さんは、Cortex XSIAMの現状(2023年5月現在)と今後について、どのように捉えていますか?
SCSK 長尾氏 : リリースして間もない製品ということもありますが、社内で導入を推進する人材が不足している影響もあり、今のところ導入事例が出てきていないかと思います。
人材不足だからこそ自動化や機械学習というキーワードが出てくるのですが、自動化のしやすさや手離れの良さなど、より情報を洗練して私たちからもお伝えしていくべきとは考えています。
Cortex XSIAMは、保守や運用コストを圧縮することができるため、国内のエンタープライズ企業との相性が抜群です。そのような企業の方々に導入され始めたら、一気に広まるのではないでしょうか。
SCSK 高野氏 : 私も同じ意見です。Cortex XSIAM を導入しイベント調査の自動化をすることで、各企業の情報システム担当者様が本当に時間を割くべき業務に集中できると考えます。
そして、Cortex XSIAMをお客様に提供するためには、何の製品を利用しているか、自動化すべき業務は何かを明確にするための業務コンサルから始める必要があるのですよね。これも、大きな1つのハードルです。
IWI 靜間 :我々も自動化ソリューションの製品を提供していますが、1~2ヶ月間で業務の解像度を高め、導入を推進しています。
業務を理解する活動の中で得られたナレッジを活かしてCortex XSIAMをご提案できるようにし、今後もお客様の作業負担や費用コストの改善に貢献したいですね。
EDRとXDRの運用にはサポートが不可欠
IWI 足立:セキュリティ担当者が不足しているというお話がありましたが、EDRやXDRをご提案する際、お客様からも人手不足の問題をご相談いただきます。
EDRやXDRの運用について、多くの企業の方々はどのような体制で行われていますか?
SCSK 長尾氏 : EDR、XDRの運用となると、情報システムの担当者様のみではどうしても完結しきれていないと思います。そのため、SOC(セキュリティオペレーションセンター)をパートナー企業の方と一緒に立ち上げているケースが多いです。
いくら、機械学習によって省力化してくれているとはいえ、今まで見ていなかったものを見るため、ご担当者の方にはかなりの負担となってしまいます。
もし、自社のメンバーのみでEDRを運用されている場合、最低でもCSIRT(インシデント発生時の対応チーム)は必要ではないでしょうか。
SCSK 高野氏 : 運用にいたる前のチームや環境も重要です。
EDRやXDRの構築が終えたらそのチームは解散…となると、導入した企業のご担当者様のみとなってしまい、気軽に相談などが行えなくなります。相談がしにくい環境下だと調査や運用方法が手探りになり、作業がひっ迫(=人手不足)しやすいです。
インテリジェント ウェイブ様の場合、導入後の運用も責任を持ってアフターフォローを行っていて、その点は強みの1つだと感じています。定例会で現場の方を手厚くサポートしている企業はあまり多くないと思いますよ。
IWI 靜間 : サポートの部分は最も力を入れている分野の1つです。
当社では約20年、セキュリティ事業を行っている経験があります。その経験から申し上げると、お客様にご提案したイメージを実現するためには、導入支援だけではなく導入後のサポートが重要です。
ソリューションを導入した後に定着しなければ、お客様の課題を解決できないと痛感しています。
サポート面で補足すると、SCSK様と当社の定例会でお伝えしていただいた情報を、私たちのお客様に反映できている点も強みの1つかなと感じています。
SCSK 高野氏 : 私たちはディストリビュータとして、素早く製品情報をキャッチアップすることを心掛けています。そうすることで、お客様へいち早く最新情報をお届けできるようになりますよね。
インテリジェント ウェイブ様とSCSKの得意、不得意な分野も把握できていて相互補完な関係ができているため、お客様にもトータルサポートが提供できていると思います。
IWI 足立 : お客様への提案から運用のサポートまで、高野様と長尾様に相談するケースもあるため、非常に助かっています。
本日はお時間をいただきまして、ありがとうございました!
- Cortex XDRの導入相談をする
導入相談はこちら
