人手不足で「脅威に脆弱な組織」を助けるサイバーリーズンの新製品とは

サイバーリーズンは2023年事業戦略発表会を開催した。サイバー攻撃が激化する一方でセキュリティ人材が不足しているのが実情だ。同社はこれをどのように解消するのか。新製品である「Cybereason XDR」の詳細に迫った。

[田渕聖人，ITmedia]

　サイバーリーズン・ジャパン（以下、サイバーリーズン）は2023年3月28日、2023年事業戦略発表会を開催した。同発表会では、企業におけるサイバーセキュリティの現状と課題、サイバーリーズンの新製品である「Cybereason XDR」が紹介された。

　セキュリティ人材の不足が叫ばれる中、サイバーリーズンが提示する解決策とは。

サイバー攻撃は激化する一方でセキュリティ人材は不足

　冒頭、サイバーリーズンの山野 修氏（代表執行役員社長）から同社の2023年度の展望と事業戦略が語られた。

　2023年になっても引き続きランサムウェアやサプライチェーンリスク、国家および重要インフラに対する攻撃、ハクティビスト／ハッカーグループの台頭など、サイバー脅威は増加し続けている。

　警察庁が、2022年の日本のサイバー空間におけるサイバー脅威や状況などについてまとめた「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、ウイルス対策ソフト導入企業（全体の87％）のうち、92％が「従来のウイルス対策ソフトで脅威を検出できなかった」と回答した。

　同調査ではその他、バックアップを取得していた企業（全体の83％）のうち81％が「データを復元できなかった」と回答したことに加えて、被害企業のうち46％が、「調査復旧費用に1000万円以上かかった」と回答した。

サイバーリーズンの山野 修氏

　「サイバーリーズンが実施したグローバル調査では、回答者の32％が『経営者が解任または辞任になった』と答え、53％が『ブランドイメージが低下した』とし、身代金を支払った組織の80％が『再び攻撃を受けた』ことが分かっています。ランサムウェア被害に一度でも遭うと、システムを復旧し、ビジネスを再開するまでに膨大な費用や時間がかかってしまいます」（山野氏）

　だが、ランサムウェア攻撃に対抗しようにもこれに対処するセキュリティ人材が不足しているのが実情だ。サイバーリーズンが2023年1月に実施した調査によると、30％の組織が「SOCやCSIRT、セキュリティ専任者、専任部門の全てを備えていない」と回答した他、85％の組織が「社内のサイバーセキュリティ人材を十分に確保できていないことに不安や悩みを抱えている」という。

　こうした現状を受けて、サイバーリーズンは2023年における重点施策戦略として、「Cybereason XDRの本格展開」「EDR／MDRのマーケット拡張」「セキュリティサービス提供体制の拡充」という3つの柱を掲げた。

サイバーリーズンの2023年における重点施策戦略（出典：サイバーリーズンの発表資料）

Cybereason XDRは人材不足の企業をどう救うのか

　続いて、サイバーリーズンの桜田仁隆氏（戦略事業推進室　室長）から、2023年4月3日から日本市場で本格展開を開始するCybereason XDRの詳細な機能が発表された。

　ランサムウェア攻撃や事業停止などにも影響するサプライチェーン攻撃において、クラウドサービスやVPN機器などエンドポイント以外への攻撃が増加している。守るべき領域やリソースが拡大する中、企業は少ない人材で迅速に影響範囲を特定し、強固なセキュリティ対策を講じることが求められている。

サイバーリーズンの桜田仁隆氏

　これを支援するのがXDR（Extended Detection and Response）という考え方および製品だ。桜田氏は「XDRは『検出』『調査』『修復』という3つのキーポイントをできる限り簡素化して、短時間で実行することを目的したツールです。Cybereason XDRは、複数のデータソースを基に、広範なコンポーネントをセキュリティ運用システムとして統合し、分散する監視及び対応を自動化することで、インシデント対応における生産性向上や対応時間の短縮、セキュリティ運用全体におけるコスト削減を実現します」と語る。

Cybereason XDRの価値（出典：サイバーリーズンの発表資料）

　XDR製品を選定するに当たってはエンドポイントだけでなく、クラウドやネットワーク、IDなど複数のデータソースから広範な情報を収集して分析できるかどうかが非常に重要なポイントだ。

　Cybereason XDRは「Microsoft 365」や「Google Workspace」といった日常的に利用するツールの情報はもちろん、IDaaS（Identity as a Service）製品では「Okta」や「Microsoft Azure Active Directory」（AzureAD）「Active Directory」。クラウドでは「Amazon Web Services」（AWS）や「Zscaler」、ネットワークではPalo Alto NetworksやFortinet製品、モバイルではJamf製品などに対応している。今後もインテグレーション製品は順次拡大する予定だ。「ベンダーロックインのない柔軟な外部ソリューションとの連携が強みです」（桜田氏）。

　次に具体的な機能の詳細を見ていこう。Cybereason XDRは以下のような4段階の分析モデルを採用している。

Cybereason XDRの分析モデルイメージ（出典：サイバーリーズンの発表資料）

　第一段階では各領域の製品から上がってくるアラートを集約、分類、意味付けする。第二段階では振る舞い検知を実施する。

　「例を挙げると、東京でアクセスしていた人間が30分後にノルウェーからアクセスしてきた場合、物理的に移動できるはずがないので異常事態の可能性があります。こういったケースが必ずしも異常だと決めるわけではありませんが、そういった要素から複合的に判断します」（桜田氏）

　第三段階は別々のデータソースを相関分析にかける。例えば、フィッシング攻撃が発生したときに、電子メールアドレスやソース、IPアドレス、URLサイト、ディクテーションファイルのハッシュ値など複数の要素を収集しておく。もし全く別のタイミングで誰かのクラウドアカウントにサイバー攻撃が仕掛けられたときに、収集しておいた情報と照合する。同一IPだった場合、一連のサイバー攻撃であることが分かるといった具合だ。

　第四段階は相関性の有無にかかわらず収集した複数の情報を組み合わせて、「いつ」「誰が」「どうやって侵入してきて」「何をした結果」「今どうなっているのか」といったストーリーを導き出す。

　なおサイバーリーズンは、Cybereason XDRをサービスとして提供する際、上に挙げた4段階の分析を自動的に実施し、検知した内容を人の手で再分析する。その上で、対応の優先順位を付ける。その後は顧客自身で脅威に対処するか、サイバーリーズン側から具体的なアクションについてアドバイスを受けることも可能だ。運用について悩んだ場合、「Cybereason MDR」として専任のアナリストが24時間365日体制で支援する。

（左）Cybereason XDRのサービス提供範囲（右）専任のアナリストによる支援も提供（出典：サイバーリーズンの発表資料）