Cortex XDRで誤検知を削減し効率的なセキュリティ対策を実装するには?

公開日:

更新日:

執筆者:高橋 一巨(セキュリティ開発部)|

Cortex XDRライターチームの高橋です。本記事をご覧の皆様はどのようなセキュリティ製品を利用されたいですか?

降りかかる脅威を感染前に防ぐ高い防御力でしょうか?

それとも、不審な振る舞いを素早く見つける検出力でしょうか?

はたまた、誤検知が少なく“業務負荷を抑える運用効率”でしょうか?

ご要望としては上記すべてを実現できる対策だと思います。

昨今、サイバー攻撃の高度化に伴い、セキュリティ製品も日々進化しています。

実際にEPP(エンドポイント保護プラットフォーム)EDR(エンドポイントにおける検知と対応)NDR(ネットワークの検知・対応)NGFW( 次世代ファイアウォール)など、それぞれの特長を持ったソリューションが登場し、多彩な機能も実装されてきています。

このような背景から、“高い防御力/検出力を持っていることは前提であり、


「最適に使いこなせるかどうか」「いかに効率的な運用が実現できるか」が製品検討における重要なファクターとして、

RFP等に含まれるケースが増えています。


この記事では、様々なセキュリティ製品がある中で、効率的なセキュリティ対策を実現するための観点を、ユーザー様の声も踏まえてご紹介します。

製品検討における重要なファクターは、高い防御力/検出力に加え、製品を最適に使いこなし、効率的な運用を実現できるかどうかである

目次

過検知/誤検知による影響と発生理由

よくご相談をいただく課題が、過検知/誤検知への対応です。

“過検知/誤検知”とは、

「正常なプログラムが、マルウェア等の不正な挙動として誤って判断されてしまうこと」

を指します。

過検知/誤検知は、主に以下のような影響を及ぼします。

・アラートの増加による業務遅延

・正しい検知が埋もれることによるインシデント対応遅延

・運用工数の増加

こうした影響を最小限に抑えるためにも、まずは過検知/誤検知が発生する理由について触れていきます。

<①一般的なセキュリティ製品設計の考え方>

セキュリティ製品として避けたい事態は、脅威を検出できないことです。

そのため、セキュリティ製品は通常、「疑わしき挙動は止める」という方針がとられています。このような特性から、正常なプログラムの動きも検知してしまうことがあります。

また、サイバー攻撃が高度化していることを背景に、製品の対策機能が増えています。

例えば、

従来型アンチウィルス製品等のメイン機能であった「パターンマッチング」では見逃してしまう亜種・未知のマルウェアの登場に対して、振る舞い検知やヒューリスティック分析などの対策機能が登場しました。

対策機能の強化によって、脅威を検出できないリスクを抑えることに繋がりますが、「疑わしき挙動」と認識される確率も上がるため、過検知/誤検知が増えている要因となっています。

<② 複数ベンダーとの契約、単一ポイントソリューションの複数利用>   

セキュリティ人材の不足が問題視されている一方で、エンドポイント(EPPEDR)、ネットワーク(NDR)、さらにはクラウドやIoTなど、管理すべきセキュリティソリューションは増えています。セキュリティ製品が疑わしい挙動を検知した場合には、その脅威がどのようなアクションでそのポイントまでたどり着いたのかなど、全体像から把握する必要があり、担当者の負担は増える一方です。

 さらに、このような状況に対し、多くの企業から耳にするのが、それぞれのポイントで、異なるベンダーのセキュリティ製品を導入している、ということです。

各レイヤー、各製品からアラートが一貫性なく上がるため、担当者がすべてのアラートを確認し、関連性などを分析する必要があります。独自のアラートがそれぞれの製品から上がる状況では、 重要アラートを見逃すリスクにもつながります。

各レイヤー、各製品からアラートが一貫性なく上がる場合、重要アラートを見逃すリスクにも繋がります

<③ 導入・運用時の準備/意識不足>

いかに優れた製品であっても、その製品を最大限に活用するためには、導入だけでなく、運用までの設計が必要です。これには、自社の業務や端末種別、使い方などに合わせて、各機能の最適な設計を行うことが含まれます。

しかし、製品の多様な機能を全て把握したうえで自社環境に合わせた製品の運用方法を策定するには、多くの手間と時間を要します。


そのため、製品の導入完了がゴールとなってしまうケースもあり、製品の適切な設定やチューニングが行われず、


過検知や誤検知が多発する事態につながる恐れがあります。

そのため、製品の導入完了がゴールとなってしまうケースもあり、製品の適切な設定やチューニングが行われず、過検知や誤検知が多発する事態につながる恐れがあります。

効率的なセキュリティ対策・運用の実現に向けて

 過検知や誤検知を極力抑えるための対策として下記が挙げられます。 

  • 過検知や誤検知を抑える仕組みが実装された製品の利用

⇒単に防御力/検出力の高さ、機能の豊富さを謳っている製品を選択するのではなく、

検出精度を高める能力をもつ製品も登場しています。運用についても導入時から検討しながら製品選定することが重要です。

  • 包括的な対策が可能なソリューションの選択

⇒導入当初はEPP観点の導入であっても、将来的にはそれを土台としたEDRXDRといった包括的なセキュリティプラットフォームの構築により、さらなるセキュリティ強化を見込めます。

  • 適切かつ定期的なチューニングの実施

⇒製品導入後、セキュリティを維持するため、設定や運用を定期的に見直す必要があります。導入後のサポートとして、問合せ対応のほか、定期チューニングや運用相談などの伴走型支援を提供するベンダーを活用することも選択肢の一つとなります。

最後に、上記対策を実現できる製品およびサービスをご紹介します。

Cortex XDR による検出精度を最適化、運用改革の実現

Cortex XDR」とは、Palo Alto Networks(パロアルトネットワークス)社が提供している製品です。

 業界初のXDR 1であり、セキュリティプラットフォームの構想を実現できることで注目を浴びています。

Cortex XDRはセキュリティプラットフォームの構想を実現できる

よく見られるセキュリティ対策の強化策として、従来のアンチウィルス製品に加え、親和性の低いEDRを導入するケースがありますが、別々のツールを利用することで、運用負荷が高くなっている可能性があります。

Cortex XDR」は、EPPの機能だけでなく、EDRの機能を持ち、さらに、エンドポイントだけでなく、ネットワークやクラウド、IoTなども含めて一つのセキュリティプラットフォームとして対応が可能です。対策においては、AIや機械学習を通じた分析も行っています。 

Cortex XDRはEPPとEDRの機能を持ち、ネットワークやクラウド、IoTなども含めて一つのセキュリティプラットフォームとして保護できる

Cortex XDRの特長✍>

✅多角的な機能実装方式

強力な保護機能を単に実装しているのではなく、単一機能での弱点となる他製品や他レイヤーとの連携を補い、高い検出精度を実現しています。

Cortex XDRの実際のランサムウェアの感染活動に対する防御

✅機械学習によるスクリーニング

従来のEDR製品では、一つのインシデントに対して、個々のアラートをベースに

複数の製品からログを集めて分析しますが、アラートが多くなるため、担当者の負担が増えてしまうことがあります。

Cortex XDR」は、検知情報を機械学習によってスクリーニングし、かつアラートの発生原因まで時系列で示すため、対応が必要なものだけをアラート検出させることが可能です。

実際に導入されているお客様では、

1500件ほど上がっていた過検知や誤検知のアラート78件まで減った事例や

担当者のアラート対応に6時間/件要していたものが平均10分程に収まるようになった、といった効果も出ています。

✅第三者調査機関の評価テストで100%の保護と検出を唯一実現

 「Cortex XDR」は独立した評価機関である“MITRE社”によって行われるATT&CK評価(MITRE Engenuity ATT&CK Evaluations:実在するサイバー攻撃者グループの手法を模擬したシミュレーションを使って、セキュリティソリューションの能力を評価するテスト)にてテストされており、

実際に攻撃者が用いる手法に対する防御や検出の有効性についての評価結果を公表して

います。

Cortex XDR 2023年のATT&CK評価において、全テスト攻撃のうち99%を、最も厳しい評価基準(全部で5段階の評価基準)をクリアして検知することができました。残りの1%は、その次に厳しい評価基準をクリアして検出しました。

また、悪意のあるアクティビティ(コンピューターやアカウントを不正に操作するなどの、攻撃者による悪質な行為)に対する129のテストの全てをその場でブロックしています。

これらの結果により、Cortex XDRは、ATT&CK評価において 100%の保護と検出を実現しています※2

2 Palo Alto Networks |CortexMITRE Engenuityの評価テストで100%の保護と検出を唯一実現”から引用

Cortex XDRの最適な導入/運用を実現させる"伴走型支援"

当社は、「Cortex XDR」の提供ベンダーとして、ライセンスに併せて導入および運用支援サービスを提供しています。

導入/運用フェーズでは、問合せ窓口を設けるだけでなく、導入から運用までをより効果的なものにしていくため、 次のような“伴走支援”を実施しています。

<詳細事例> ※一部抜粋

・検証時に各拠点の状況把握、状況に応じたポリシー設計

・業務端末、サーバを区分けし、展開計画の検討

・業務影響を抑えるため、段階的なセキュリティレベルの引き上げ調整

・インストールを容易にするため、バッチファイルの提供

・定例会を実施し、発生している検知内容をチェック

・お客様の環境/運用に合わせたセキュリティアドバイザリーや
バージョンアップ提案

・チューニング支援

・操作トレーニング

セキュリティ対策製品の導入や運用において、不安な点やお困りごとがあれば

お気軽にご相談ください。

出典(参考文献一覧)

1  Palo Alto Networks | XDR - 拡張型ディテクション&レスポンス (参照日:2024-05-08)

2  Palo Alto Networks | CortexがMITRE Engenuityの評価テストで100%の保護と検出を唯一実現(参照日:2024-05-08)