なぜXDRが必要なのか セキュリティ対策を難しくする「普遍的な4つの課題」とは

PR／ITmedia

PR

　ランサムウェア（身代金要求型マルウェア）は、IPA（情報処理推進機構）が発表する「情報セキュリティ10大脅威」で連続して挙がっており、その脅威は年々高まっている。

　各種セキュリティ調査でもランサムウェア攻撃の標的にされやすい業界として挙がるのが金融、公共、医療だ。中でも医療機関は、カルテや検査データなどの個人情報を多く保有し、医療行為を提供しなければならない社会的責任を負っていることから標的にされやすい。ただし、それ以外の業界が狙われにくいわけではない。サイバー攻撃はあらゆる企業・組織にとって、いつわが身に降りかかるか分からない重大なリスクだ。業種や規模を問わず、どの組織にとってもサイバー攻撃は「対岸の火事」ではなく「明日はわが身」と思って対策に取り組む必要がある。

　前橋赤十字病院の市根井栄治氏（事務部情報システム課長）は、2024年9月開催のセミナー「導入ユーザーと語る！　直面するセキュリティ課題の解決にCisco XDRを採用した経緯と今後の展望」に登壇した際「セキュリティ対策は業界を問わず共通している課題がある」と指摘した。

　前橋赤十字病院が抱えていた、セキュリティ対策を難しくする「普遍的な4つの課題」とは何だったのか。本セミナーの内容から、セキュリティ強化における共通の課題を解き明かし、同院が解決のためにXDR（Extended Detection and Response）を選んだ理由と、ITパートナーのユニアデックスとともに「Cisco XDR」を導入した経緯を紹介する。

会場風景

最善を尽くしても万全にはならない、セキュリティ対策の難しさ

前橋赤十字病院の市根井栄治氏

　ここ数年、国内で複数の医療機関が大規模なランサムウェア被害に遭っている。後に公開された被害報告書は、前橋赤十字病院がセキュリティ対策を強化する指針になったという。2021年における徳島の医療機関のインシデントはファイアウォールの脆弱（ぜいじゃく）性が侵入経路であったことを踏まえて脆弱性対策を強化。2022年における大阪の医療機関のインシデントは取引業者の接続が侵入経路になったことから、サプライチェーン偽装を防止するためにログ監視を強化し、各種設定もより厳格になるように見直した。

　ランサムウェア攻撃を警戒するならデータ保護も重要になる。前橋赤十字病院はデータバックアップ体制の強化を考え、2023年にCohesityのバックアップアプライアンスを導入。イミュータブル（書き換え不可）なバックアップを実現した。

　前橋赤十字病院は2018年6月の新病院開設を機に、院内全役職へ800台のiPhoneを導入し、無線LAN強化とともにVoIP（Voice over IP）のナースコールシステムを導入している。このタイミングで、モバイルデバイス管理（MDM）製品「Cisco Meraki MDM」、クラウドセキュリティ製品「Cisco Umbrella」、無線アクセスポイント製品「Cisco Aironet」、ネットワーク管理製品「Cisco Prime Infrastructure」、ハイパーコンバージドインフラ（HCI）製品「Cisco HyperFlex」、Web会議ツール「Cisco Webex」など、シスコの製品群を導入した。

　ネットワークからデバイス保護に至るまで、ここまで幅広い対策製品を導入している組織はなかなかない。それでも市根井氏は「まだ万全ではない」と考えていた。

セキュリティ対策を難しくする「普遍的な4つの課題」

　どのような業界にも共通する「セキュリティ対策の難しさ」について、市根井氏は次の4点を挙げる。

　1つ目は多様な製品知識・技術の取得が必要なことだ。マルウェア対策やリモートログ監視など、多岐にわたるセキュリティ関連製品を取捨選択し、自組織の用途に最適化して運用する必要がある。多数のセキュリティ製品を併用するのはもはや当たり前のことであり「1社当たり平均45種類のセキュリティツールを導入しているという調査がある、と聞いたことがあります」と市根井氏は語る。

　2つ目はインシデント分析の難しさだ。何らかの不具合や障害に直面した場合、暗中模索しながらログを分析することになる。導入しているツールやベンダーごとにログの表記ルールが異なる中、膨大なアラートやログの中から関連する情報を抽出し、どのような攻撃がどこまで進行しているのかを正確かつ迅速に把握するのは極めて困難だ。

　3つ目は、セキュリティ知識のアップデートが大変なことだ。サイバー攻撃に使われる技術や手法は日進月歩であり、対策を施してもサイバー攻撃者はすぐに回避策を編み出してしまう。昨今はサイバー攻撃者が「Ransomware as a Service」（RaaS）や生成AIを利用し、攻撃の巧妙化と高度化が加速している。このような、攻撃の背後にある技術やビジネスモデルなども熟知しておかなくてはならない。

　4つ目は物理的な課題だ。セキュリティ対策を万全にしたいと思っても、セキュリティ人材の雇用や育成、職員へのセキュリティ教育、ガバナンス強化などにかかる手間と費用の確保は容易ではない。現実にはコストの問題が数多く立ちはだかる。

　これら4つの普遍的な課題について、解決を意識しながら効果的なランサムウェア攻撃対策を講じるに当たり、ネットワーク監視の強化に着目した市根井氏は、特に下記を重視した。

• システム全体を常に観測する能力
• 高度で広範な知識（インテリジェンス）
• 大量のログの即時処理

　この3要件を満たすセキュリティ製品として、市根井氏は数あるXDR製品の中からCisco XDRの導入を検討した。

肥大化する運用コスト、複数のセキュリティ製品を使いこなす難しさ

　なぜXDRが必要になるのか、あらためて振り返ってみよう。

　旧来のシステム構成では、社内と社外をファイアウォールなどで区切る、いわゆる「境界型防御」が有効だった。しかし近年はクラウドサービスが普及し、テレワークの端末や遠隔監視システムなど“境界の外”からアクセスする経路が増え、ネットワークとシステムの構成は複雑化した。それに伴い、サイバー攻撃者が狙う場所（アタックサーフェス）も増えてきた。さまざまな攻撃に備えるために、複数の対策製品を導入せざるを得ないのが近年の実情だ。

　ツールが増えれば運用管理は煩雑化し、費用と労力も大きくなる。各種対策製品が発する大量のアラートに対処するだけでも大変なのに、膨大なアラートに惑わされて重要な兆候を見逃してしまうリスクもある。昨今はセキュリティ人材の確保も難しい。

ユニアデックスの高橋優亮氏

　このような課題から登場したのがXDRだ。クラウドサービス、ネットワーク、エンドポイントなど、システム全体のログデータを分析して脅威を検知し、対処する技術と言える。ユニアデックスの高橋優亮氏（エヴァンジェリスト）は「近年のXDRは、AI技術を駆使して膨大な情報を統合的に分析することで、インシデントを早期検知します。必要な対処を自動化してセキュリティ担当者の負荷を下げる仕組みも備えています」と説明する。

　Cisco XDRはシスコの製品のみならず、他社の幅広いセキュリティ製品と接続して情報を集約し、監視と対処のオペレーションを一元化できる（図1）。セキュリティ担当者が見るべき情報源が一カ所にまとまるので、分析と対処の迅速化が期待できるわけだ。高橋氏によれば、Cisco XDRがない場合はアラートが出てからインシデント調査と修復まで32分かかっていたインシデントレスポンスが、Cisco XDRを使うと5分に短縮できる。

図1　システムを俯瞰するCisco XDR（出典：ユニアデックス提供資料。編集部が一部改変）《クリックで拡大》

　Cisco XDRの信頼性を裏付けるのが、シスコのセキュリティ研究組織「Cisco Talos」の脅威インテリジェンスだ。セキュリティ製品の有効性は脅威インテリジェンスに左右されると言っても過言ではない。Cisco Talosは世界中の脅威関連情報をリアルタイムで収集し、専門家による分析と機械学習を駆使して具体的な脅威やリスクとその兆候、属性を把握している。数多くのマルウェアをブロックしてきた実績があり「その実力はペンタゴン（米国国防総省）に匹敵するレベルとも言われています」と高橋氏は説明する。

導入の決め手はCisco Talos、そしてユニアデックスとの信頼関係

　Cisco XDRの国内導入の先駆けとなったのが前橋赤十字病院だった。先例がない中で導入を検討するに当たり、現場と経営陣は真剣に議論を重ねた。

　セキュリティ対策は、事後対策と予防策に大別できる。もしランサムウェア攻撃を受けたら、①金銭的被害、②医療サービスの停止、③信頼の低下など、いずれも致命的な事態になりかねない。事後対策では①を守れない。しかし予防策なら①〜③の全てを防げる。市根井氏はそう考えた。

　高度化するサイバー攻撃を未然に防ぐには、それなりの実力を備えた対策ソリューションが必要になり、投資額も相応のものになる。市根井氏は「Cisco XDRの導入費用と、起こり得る被害額を比べてどう判断するか、という話です。絶対に守れるソリューションは存在しません。それなりの投資をするならば高品質なものを、運用コストは低く抑えて継続的に利用できるような選択をしたい。だからこそCisco XDRは十分に検討する価値がある、と経営陣に訴求しました」と話す。

　導入可否を判断する上で決定打となったのは、Cisco Talosの実績とユニアデックスのサポートだったという。市根井氏は「ペンタゴンに次ぐレベルのCisco XDRで攻撃を防げなかったとしたら、それはもう手の打ちようがなかったということです。Cisco XDRを導入したならば、医療機関としては最善を尽くしたと主張できる、と経営陣に説明しました」と振り返る。

　加えて前橋赤十字病院は、ユニアデックスと長年の信頼関係があった。2018年の新病院移転を機にシステムを一新した際にも、ユニアデックスを通じてシスコの製品群を導入した。市根井氏は当時をこう振り返る。「さまざまなベンダーがPHSのナースコールを提案した中で、シスコとユニアデックスだけが当時としては新技術だったVoIPを提案し、新しいことを次々に実現してくれました」。高橋氏は「ユニアデックスは、どんなベテランでも新しいことに挑戦しようという哲学があります」と胸を張る。

　前橋赤十字病院は2024年12月までにCisco XDRの本番稼働を目指して作業を進めている。「医療機関にとってITシステムのセキュリティ対策は、患者の命を守るために必須です。だからこそ、いざとなれば紙伝票を使ってでも業務を停止させないよう手を尽くします。逆に言えば一般企業の方が、ITシステムが完全に停止すると業務が継続できないという意味で、セキュリティ対策に力を入れなければならないのかもしれないのかもしれません」（市根井氏）