日々巧妙化するサイバー攻撃への備えとして、複数のセキュリティ製品を導入するも、その管理や運用負荷に悩まされている企業は少なくないだろう。多様なソリューションで企業のセキュリティ対策を支援してきた日立ソリューションズでは、ベンダーを問わずさまざまなセキュリティ製品との連携に対応し、一元的に管理する“Open XDR”に着目。インシデントの検知から対応までを迅速化するOpen XDR「Stellar Cyber」を提供している。本稿では、同社でStellar Cyberの拡販・技術支援を担当する高田氏と小澤氏に話を伺い、Open XDRの有用性とStellar Cyberの特長について探っていく。

  • (写真)インタビュイー集合写真

    (左)株式会社日立ソリューションズ セキュリティプロダクト第2部 クラウドサービスグループ 主任技師 高田 篤氏
    (右)株式会社日立ソリューションズ セキュリティプロダクト第2部 クラウドサービスグループ 技師 小澤 智弘氏

守るべきポイントの増加に伴い、セキュリティ対策の難易度は高まっている

サイバーセキュリティ市場の現状について、日立ソリューションズの高田 篤氏は次のように語る。

「サイバー攻撃の傾向として、手法自体が巧妙化しているのはもちろん、攻撃意図も明確化したことで、ランサムウェアなど企業を狙った金銭目的の攻撃が増加しています。また、最近は生成AIでマルウェアを作成するツールが出回るなど、サイバー犯罪を起こすためのハードルが下がっています。さらに、働き方の変化に伴うクラウドやテレワーク利用の増加に伴い、新たなセキュリティリスクがでてきました。こうした状況のなかで自社のシステムや情報リソースを守るためには、もはやオフィス内での業務を前提とした従来のセキュリティ製品だけでは不十分で、クラウド環境やテレワークまで視野にいれた対策が必要です。複数のセキュリティ製品を導入し、エンドポイントからネットワーク、クラウドまで、さまざまな領域を監視していく必要があります」(高田氏)

  • (写真)インタビューに答える高田氏

    高田氏

このため、さまざまなセキュリティ製品を組み合わせた対策を講じる企業・組織が増えている。しかし、管理すべきセキュリティ製品が増加するため、セキュリティ担当者への負荷が大きい。膨大なログやアラートを管理しきれず、インシデントへの対応が遅れるという本末転倒な状況に陥っている企業も少なくない状況だ。攻撃の手法や経路が日々増え続けるなか、万全な対策をとり、すべての攻撃を完全に防ぐことはもはや不可能であるといえる。

「いま必要なのは、“脅威の侵入を前提として”サイバー攻撃を早期に検知し、迅速に対応する仕組みです。そのためには導入したさまざまなセキュリティ製品のログを統合し、何が起きているのかを瞬時に把握し対処するためのコンソールのようなものが必要です。ビルに設置された監視カメラの映像が集約される、監視室のイメージでしょうか」(高田氏)

こうした役割を担うソリューションとして日立ソリューションズが着目したのが、XDR(Extended Detection and Response)の一種である「Open XDR」だ。

ベンダーロックインを回避し、多様な製品のログを統合する「Open XDR」

まずXDRとは、エンドポイントを監視して検知した脅威に対応するEDR(Endpoint Detection and Response)と、ネットワーク全体を監視して脅威を検出し、迅速な対処を行うNDR(Network Detection and Response)を統合、もしくは拡張したソリューションであり、セキュリティインシデントの早期検知/早期対応を実現する。

さまざまなセキュリティ製品やセンサーと連携して統合的な対策を講じられることが特長だ。EPP(Endpoint Protection Platform)やEDR、UEM(Unified Endpoint Management)、SWG(Secure Web Gateway)、IAM(Identity and Access Management)、CASB(Cloud Access Security Broker)など多様な製品からログを収集し、分析・検知したインシデントを迅速に調査・対応することができる。膨大なログを1カ所に集約でき、さらに検知や対応もある程度自動化できるため、セキュリティ管理者の負荷も大幅に軽減される。セキュリティエンジニアの確保に悩んでいる企業にとっても非常に有力な選択肢となるだろう。

ただし、現状のXDRはEDRのオプション、または拡張製品として提供されているものが多く、すでに構築している多層防御環境に導入する際には、選択肢が限られてしまうといった課題が存在する。たとえば、既存のEDRを拡張してXDRを導入した場合、ほかのセキュリティ製品との連携が行えないこともある。そのため、統合的な監視・対応を実現するには特定ベンダーの製品に統一しなければならない、いわゆる“ベンダーロックイン”が発生するケースも少なくない。こうした問題を解決する“新たなXDR”として注目されているのが、特定の製品・ベンダーに限定せず、世の中にあるさまざまな製品との連携を考えて開発されたOpen XDRだ。

「複数のセキュリティ製品を導入している企業にとって、ベンダーロックインされたXDRを導入するのは非常に困難なタスクです。場合によっては既存の製品を入れ替える必要もあり、構築の手間やコストが増大します。後になって新たなセキュリティ製品が必要になった際にも、選択肢が限られてしまいます。一方で、Open XDRはさまざまな製品との連携を前提としているため既存の環境への導入が容易であり、将来的な製品追加も自由度が高く、今後出てくる脅威に対しても柔軟に対応できるため、いま注目を集めています」(高田氏)

Open XDR市場を牽引する「Stellar Cyber」

こうした市場のニーズに応え、日立ソリューションズではOpen XDRである「Stellar Cyber」を提供している。ネットワーク・エンドポイント・クラウド・ID管理・データベース・アプリケーションなどからログを収集し、サイバー攻撃の兆候を検知。相関分析エンジンを用いて攻撃経路や攻撃のタイムラインなどサイバー攻撃全体を可視化したうえで、ほかのセキュリティ製品と連携して迅速な対応が行える。Stellar Cyberの技術支援を担当する日立ソリューションズの小澤 智弘氏は、サイバー攻撃への対策を「収集」「検出」「調査」「対応」の4つのフェーズで考える必要があるとし、その上でStellar Cyberの特長について解説する。

「Stellar Cyberは主要なセキュリティ製品との連携に対応していることから、まず「収集」の段階において、さまざまな製品からログを集めることができます。「検出」フェーズでは、複数のログやアラートを組み合わせた“相関分析”が可能で、早急な対応が必要なインシデントを検出し、自動でアラート通知を行います。相関分析することで、誤検知が低減され、より迅速かつ適切な対応が可能になります。さらに「調査」の場面では、攻撃フローやタイムラインをダッシュボード画面で可視化。サイバー攻撃の全貌が把握しやすくなり、管理者の負荷も軽減されます。最後の「対応」フェーズにおいても、他社製品との防御連携が可能です。ネットワークのブロックから感染端末の隔離、ユーザーIDの無効化などをStellar Cyberの画面から実行することができます。トリガーベースでの自動化も可能で、早急な防御を可能にします」(小澤氏)

  • (図)Stellar Cyber製品概要

    Stellar Cyber製品概要

このように、Stellar Cyberはセキュリティインシデントの早期検知/早期対応をセキュリティ管理者の負荷を抑えながら実現するソリューションだ。インシデントの情報を把握しやすいダッシュボードが用意されており、1つの画面上で複数のセキュリティ製品のログを管理できる。そのため、限られた人的リソースで安全性を高められるのだ。日立ソリューションズでは、それでもリソースに不安があるという企業に対してセキュリティ運用支援サービスを展開している。Stellar Cyberで通知されたインシデントの内容をセキュリティエキスパートが調査・分析し、対策案の報告まで実施。顧客側での迅速なインシデント情報の把握・対応を支援する。

さらにStellar Cyberは、ネットワークを監視するNDRやサーバー環境を監視するサーバーセンサーも提供している。そのため、複数のセキュリティ製品との連携が推奨ではあるものの、NDRとして単体で導入してもセキュリティ強化が図れることも見逃せないポイントである。また、EDRがない環境に導入することも可能であり、NDR機能とエンドポイント(サーバー)セキュリティを備えるStellar Cyberを導入し、後からEDRを導入してセキュリティを強化するといったアプローチも有効だ。また、日立ソリューションズが取り扱うセキュリティ製品とセットで導入することもできる。このように、予算や人的リソースに合わせて柔軟にセキュリティを強化できるのが、Stellar Cyberの大きな魅力といえる。

  • (図)Stellar Cyber連携製品の一例

    Stellar Cyber連携製品の一例

PoCの実施支援など、セキュリティ対策の強化を図りたい企業を全方位でサポート

ここまでOpen XDRの強みとStellar Cyberの特長について解説してきたが、実際に試してみないと導入効果が見えてこないと感じる企業も少なくないはずだ。日立ソリューションズでは、導入を検討している企業に対してPoCを支援しており、すでに運用中の環境にStellar Cyberを導入した場合の効果を検証することができる。

「Stellar Cyber社とタッグを組み、Open XDRのコンセプトと導入効果を理解していただけるようなPoCの支援を実施しています。お客さまにスムーズにPoCを実施いただけるようにガイドラインを作成し、オペレーションも含めてStellar Cyberの価値を知っていただけるようにまとめておりますので、ぜひ一度ご利用いただきたいです」(小澤氏)

  • (写真)インタビューに答える小澤氏

    小澤氏

さらに、数多くの企業にセキュリティ製品を導入してきた同社の経験とノウハウを生かして、多様なセキュリティ製品を組み合わせた提案も行っていると高田氏は語り、サイバーセキュリティに課題を抱える企業を全方位で支援していきたいと力を込める。

「冒頭で述べたようにサイバー攻撃は巧妙化・複雑化し続けています。セキュリティ対策が後手に回っている企業では、“どこから手を付ければよいのか”という部分から悩まれているケースも少なくありません。当社は、Stellar Cyberだけでなくセキュリティ全体で対策をご提案していきたいと考えております。XDRの導入を検討している企業はもちろん、セキュリティ強化を図りたい企業もお気軽にご相談いただければと思っています」(高田氏)

関連リンク

Open XDR「Stellar Cyber」

[PR]提供:日立ソリューションズ