XDR vs SOAR: 業務に適したツールを見極める

※本記事はセキュアワークス株式会社から提供を受けております。著作権は同社に帰属します。

2022年6月14日(火)
著者:プロダクトマーケティング ALEXA LEVINE 

※本記事は、 https://www.secureworks.com/ で公開されている XDR vs SOAR: Finding the Right Tool for the Job を翻訳したもので、 2022 年 6 月 30 日執筆時点の見解となります。

セキュリティオペレーションセンター(SOC)の日常業務では反復的に実施される人手によるタスクが主体であり、それらの処理には大きな時間を要します。「退屈でうんざりするマニュアルタスクに業務時間の半分以上を費やしている1」と感じているセキュリティアナリストは64%にのぼり、大きなフラストレーションの一つとなっています。増え続けるアラートと不足するセキュリティ人材によりSOCの業務効率は低下し、それはスタッフの疲弊とその結果としてのサイバーセキュリティリスクの増大につながる恐れがあります。さらに、SOCのアナリストが日常のマニュアルタスクに忙殺されていると、全社的なセキュリティ強化に大きく貢献するような重要性の高いプロジェクトに注力できなくなる恐れもあります。

セキュリティアナリストの66%は「現行業務の半分は自動化することができる1」と考えています。この背景で、セキュリティ業務のオーケストレーション・自動化・対応を支援するSOAR(Security Orchestration, Automation, and Response)プラットフォームの導入を検討する企業や組織があります。SOARはセキュリティ情報とイベントを管理するSIEM (Security Information and Event Management)システムの拡張として採用されることが多く、アナリストによる定型的なワークフローを自動化するプレイブック機能を提供し、また異なるセキュリティツール同士が相互通信するための「セキュリティミドルウェア」としても役立ちます。しかし、SOARの導入は複雑でコストがかさみます。

SOARを導入し、パートナーとの連携やプレイブックを維持管理するためには成熟度の高いSOC体制が必要です。そこで、SOARに代わるシンプルで直感的な自動化を求める組織にとって、「XDR(Extended Detection and Response)プラットフォーム」の導入は一考に値します。

XDRは、組織が直面する変化し続けるセキュリティの課題に適応し、それを克服するためのプラットフォームです。セキュリティオートメーションは手間のかかるマニュアルタスクを自動化することでそれらの課題を軽減し、チームメンバーはより重要な問題の解決に注力できるようになります。自動化によりSOC業務全体の効率や効果が高まるため、既存のスタッフで対応可能な範囲が広がり慢性的な人手不足に対処できるほか、対応にかかる平均所要時間(MTTR)が短縮され、脅威の影響度を抑えることができます。XDRはセキュリティ調査ワークフローと自動対応プレイブックが組み込まれた、インシデント対応に特化したプラットフォームです。

XDRとSOARにはもう一つの違いがあります。XDRは幅広いお客様のニーズを満たす高度な検知、迅速な対応、直感的な自動処理の機能を提供するため、サードパーティ製SOARソリューションを追加導入するためのコストを必要としません。また、XDRは複数のセキュリティツールを単一の脅威検知・対応ソリューションに集約することができ、単体ソリューションの個別管理にかかる時間や工数、複雑性を軽減します。さらに、無数のポイントソリューションから個別に発せられる絶え間ないアラートの処理に追われるような、いわゆる「アラート対応疲れ」からセキュリティチームを解放します。堅牢なXDRプラットフォームは、監視環境全体から収集したテレメトリデータを自動的に相関付けすることにより、アラートを分類し優先順位付けします。XDRが脅威を優先度別に分類するため、セキュリティチームはその優先度や緊急性に応じて適切に対応することが可能となります。

XDRソリューションを用いると脅威に対するセキュリティチームの対応速度や精度を高めることができますが、XDRの機能は全ての製品で一様ではありません。セキュリティオートメーションを目的にXDRを採用する際には、ベンダーを選定するうえで検討すべきいくつかの重要なポイントがあります。

  1. 反復的タスクの負担を軽減し、最適なプロセス自動化が可能なソリューションであること:オートメーションの機能は、アナリスト業務において最も反復性が高いタスクを自動実行します。これによりアナリストの貴重な時間を取り戻すことができ、各自の専門能力をより広い範囲の業務で最大活用することが可能となります。オートメーションにより定型タスク業務が合理化されるため、SOCチームは最も価値の高い業務、すなわち可能な限り効率的かつ効果的に脅威を調査し対応する、これに集中できるようになります。XDR製品を検討する際は、以下の例に示すような手動タスクを自動化するプレイブックのライブラリが搭載され、その機能が継続して拡充されているか確認しましょう。
    • 外部のチケット発行システムを介したチケット作成および問い合わせ実行
    • カスタムメールやインスタントメッセージによる通知作成
    • アラートの管理
    • 調査タスクの作成
    • 複数のセキュリティ管理を横断的にカバーするインシデント対応
  2. オートメーション機能を利用した高精度なリスク管理が可能なソリューションであること:自動化によりアラート対応疲れを最小限に抑えられるため、SOCチームは監視対象環境内で最も重大で緊急性の高い脅威への対応に集中することができます。XDRを使うことで「回転イス型の管理」から脱却し、生産性や精度を高めてリスクの管理を抜本的に強化します。
  3. 最も深刻な脅威にも迅速に対応できること:反復的かつ面倒で退屈なアラートがグループ化され、一方で最も深刻なアラートに対する高い可視性が提供されることで、SOCチームが担う全社的な脅威対応においてオートメーションの機能が生きてきます。アナリストはこうした自動化機能を活用しながらホストの隔離、IPアドレスへのアクセス制限、ユーザーの無効化などの対応アクションを実行し、重大アラートにいち早く対応できます。これにより侵入者の滞留時間を短縮し、その動きを素早く封じ込め、攻撃の影響を抑制することができます。
  4. 導入済みセキュリティシステムへの投資効果を最大化できるソリューションであること:サードパーティ製システム(チケット発行システム、メールシステム、エンドポイントツールなど)への外部接続コネクタにより、導入済のテクノロジースタックを有効活用することができます。幅広いシステムとの機能連携はインシデントデータを拡充し、対応自動化のために必要となるコンテキスト情報を強化します。既存システムをすべて破棄して総入れ替えするようなrip-and-replace方式ではなく、既存システムへの投資効果を最大化できるXDRソリューションを検討しましょう。
  5. チームの能力を引き上げられるソリューションであること:良いソリューションはSOCチームの作業効率を高め、脅威への対応スピードを向上させ、自社や対象環境に対する最善措置を確信をもって講じることを可能とします。XDRの目的は、アナリストの能力を引き上げ、SOCの生産性を向上することです。

 

SecureworksのXDRプラットフォームは、20年以上にわたって蓄積された機械学習とヒューマンインテリジェンスに基づく広範かつ細部にわたる独自の脅威検知機能を提供し、キルチェーンの早い段階で脅威を自動検知し対応します。調査に協力した組織の57%が、「XDRに組み込まれた機能である自動化・人工知能(AI)・機械学習(ML)によってサイバーレジリエンスが大きく向上した2」と回答しています。SecureworksのXDRプラットフォームは、当社カウンター・スレット・ユニット(CTU™)チームの持つ洞察(ヒューマンインサイト)に基づいて設計構築されており、AIとMLが自動化に不可欠なキーコンポーネントとして組み込まれています。

出典:
1 Tines Report: Voice of the SOC Analyst, 2022
2 Ponemon Institute: Cyber Resilient Organization Study, 2021