XDRとSIEMは何が違うのか？ 具体的な機能と製品選定ポイントを解説（1/2 ページ）

ランサムウェア対策に有効なソリューションとして最近XDR製品に注目が集まっています。ではXDR製品はどのような機能を備えているのでしょうか。本稿はXDRと、NDRやEDR、SIEMとの違い、XDR製品を選定する際に考慮すべきポイントを紹介します。

[櫻井秀光，Trellix]

　ランサムウェア被害が世界各地で頻繁に報道され、社会インフラを含む多くの企業や組織が業務を停止せざるを得ない状況が生じています。

　この記事では、セキュリティ担当者が直面する課題を詳しく分析しつつ、ランサムウェア被害がなぜ絶えないのかについて考察します。また、ランサムウェア対策の一つとして注目を集めているXDR（Extended Detection and Response）がどのように有効か、XDR製品を選択する際のポイントについても解説します。

筆者紹介：櫻井 秀光（Trellix　常務執行役　ソリューションズエンジニアリング本部　本部長）

サイバーセキュリティ対策を専門とする日系ベンダーでのコンサルタント業務を経て、2006年にマカフィーに入社。主に官公庁や大規模な法人顧客への提案活動に従事し、ネットワークからエンドポイントに至る幅広い分野を担当。2016年より現職。近年、米国本社から発信される脅威情報や脅威予測について日本向けに分かりやすく解説するなど、主にエンタープライズ向けサイバーセキュリティに関するエバンジェリストとして啓発活動も行っている。

EDRやNDRでは限界　ランサムウェアの止まらない進化にどう対抗する？

　2023年に名古屋港の活動を停止させたランサムウェアグループ「LockBit」の事件は、まだ記憶に新しいでしょう。LockBitは「Cuba」や「Royal」などとともに、過去数年間にわたって全世界で大きな影響を与えてきた主要なランサムウェアグループです。

　最近は新たなランサムウェアグループの台頭も確認されており、2024年もセキュリティ担当者はこの問題に直面し続けることが予想されます。さらに、Trellixの観測によると、攻撃者はランサムウェアに感染した被害者だけでなく、その「顧客や利害関係者」にも連絡を取るという新しい脅迫手法を使用していることが分かっています。

　Trellixが国内企業を対象に実施した調査によると、約8割の企業が情報漏えいを経験しており、そのうちの約半数がランサムウェアによる被害だったことが明らかになりました。

　この他、同調査では、半数以上の企業が10種類以上、大企業では平均20種類以上のセキュリティ製品を導入しており、セキュリティ予算に関しては、80％以上の企業が前年度と同等かそれ以上を計画していると回答しました。

　ただ調査からも分かる通り、セキュリティ対策予算と投資意欲が向上しているにもかかわらず、ランサムウェア被害は低減できていないのが実態です。その背景にはセキュリティ対策の複雑さと攻撃手法の進化があります。

　昨今のランサムウェアは、多段階かつ多重型の攻撃手法を採用しており、対処が難しくなっています。

　例えば、多くのランサムウェアははじめに電子メールの添付ファイルやURLリンクを通じて侵入を試みます。これらの攻撃はメールセキュリティ製品の検知を回避するように開発されており、侵入を完全に防ぐことは困難な実態があります。

　さらに最新のマルウェアは「Windows」の標準プログラムを利用して実行されるため、侵入時の感染活動を未然に防ぐことが難しいケースも増えています。

　感染に成功すると、ランサムウェアは組織内で横展開（ラテラルムーブメント）し、追加のマルウェアを展開します。これを検知するには異常行動をネットワークレベルで検知するNDR（Network Detection and Response）製品や端末レベルで検知するEDR（Endpoint Detection and Response）製品が必要です。

　しかしNDRやEDR製品を導入しても、これらを十分に活用できなければランサムウェア対策はうまくいかないでしょう。特に、NDRやEDR製品からのアラート数があまりに膨大なため重要なアラートを見逃したり、個別のアラートへの対処に注力してしまい、一連の攻撃のタイムラインを把握できなかったりするのはよくある運用の失敗例です。

　ランサムウェア攻撃は侵入後の時間が経過するほど、被害が大きくなるのが通例です。アラートが頻発する中で対応が遅れ、気が付いたときには既に情報が外部に流出し、脅迫されることになります。

　一連の攻撃をひも付けるには、アラートを総合的に分析できるツールとその有害性を判断する人的スキルが求められます。ただ、企業のセキュリティ対策においてはどちらかが欠けていることが多く、この状況を打破するものとしてXDRに注目が集まっています。