【レポート】次世代XDRで何が変わる? ~ネットワークからエンドポイントまでゼロトラストセキュリティ # Security Days Spring 2023

【レポート】次世代XDRで何が変わる? ~ネットワークからエンドポイントまでゼロトラストセキュリティ # Security Days Spring 2023

2023年3月7日から10日に行われているSecurity Days Spring 2023 Tokyoに参加しました。本記事はそのセッションレポートです。
Clock Icon2023.03.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうもさいちゃんです。

この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「次世代XDRで何が変わる? ~ネットワークからエンドポイントまでゼロトラストセキュリティ」というセッションのレポートブログになります。

セッション概要

ネットワークからエンドポイントまでのアクティビティを広範囲に集約し、社内外のネットワーク全体を包括的に保護する対策方法、および全てのアクセスを信用せずに疑ってかかる「ゼロトラスト」をベースとしたXDR(Extended Detection and Response) ソリューションの効果について解説します。ウォッチガードではUnified Security Platform(USP)のコンセプトをベースとしたアプローチを採用しており、当社の複数のソリューションをご利用頂くことで次世代XDRの提供を実現します。

スピーカー

ウォッチガード・テクノロジー・ジャパン(株) システムエンジニア部 部長 猪股 修 氏

レポート

XDRの一般概念

  • 2027年までに最大40%のユーザーでXDRが利用される
  • 多くのエンドユーザーがXDRを意識したセキュリティ対策を検討
  • SASI、ゼロトラストの次にXDR
  • セキュリティベンダーもXDRを提案
  • 現状はEDRやネットワークセキュリティを提供しているベンダーがXDRを提供し始めている
  • XDRは共通概念ではなく各ベンダーによって少しずつ違う
  • なぜXDR?
    • 包括的なセキュリティ対策
    • サイロ化された状況
    • 複数の製品を使っているが横連携ができていない
    • 攻撃者はその隙間を狙って攻撃してくる
    • 単一ベンダーによるXDRが重要になってくる
  • XDRとは
    • EDRやMDR、NDRの拡張版
    • 複数のセキュリティ製品(3つ以上)を1つのセキュリティプラットフォームに統合
    • セキュリティインシデントに対してベンダー固有の技術を活用する
    • 脅威検出~レスポンスまで(クラウドで)
    • セキュリティ分析
    • 相関分析 
    • スコアリング
    • インシデントレスポンス調査
    • 修復実行
  • XDRの必要性
    • 技術が高度であってもセキュリティーレイヤーを分離して展開するとすり抜けは可能
    • 異なるレイヤーのセキュリティ対策を包括的に管理、相関分析、スコアリング、修復

WatchGuardの製品紹介

  • ネットワークセキュリティ(Firebox)
    • クラウドもオンプレも〇
    • ベスト・オブ・ブリード
    • 最良のものを組み合わせる「真の多層防御」
    • ゼロデイマルウェア対策
    • シグネチャによる既知ウィルス検知
    • AIによる検知
    • クラウドサンドボックスエミュレーション技術による検知
    • いろんなセキュリティレイヤーを同時に扱う
  • エンドポイントセキュリティ(EPDR)
    • ゼロトラストアプリケーションサービス
    • プロセスやファイル、レジストリ等を100%調査分類
    • 許否リスト、許可リストとの照合
    • AIによる調査(ふるまい)
    • サイバーセキュリティエキスパートによる調査
  • DNSファイアウォール(DNSWatchGO)
    • DNSファイアウォール
    • 名前解決の段階でブラックリストと照合
    • 名前解決をさせないようにする
    • 出口対策
    • 自宅にいてもカテゴリベースの制御(ゲームやショッピングサイトへのアクセス禁止)
  • Wi-Fiアクセスポイント
    • クラウド管理型
    • 無線LANコントローラー不要
    • 管理者はクラウドに接続してアクセスポイントの運用管理
    • ゼロタッチベース
    • リモートアクセスポイント(RAP)対応
    • Wi-Fi APとファイアウォール間でVPNトンネルを実現
    • セキュリティ機能(不正アクセスポイントの検知)もリリース予定
  • 多要素認証(AuthPoint)
    • トークン認証
    • 完全クラウド型(SaaS型)
    • スマホアプリを利用可能
    • 安価
    • ユースケース
    • クラウドサービスを複数利用
    • リモートアクセスVPN
    • PCログオン認証
    • モバイルアプリがない場合にはハードウェアトークンもある

WatchGuardが提唱するXDRとは

  • WatchGuardプラットフォーム
  • インターネットを介してWatchGuardクラウドと連携
  • WatchGuardクラウドとの連携で一元管理
  • ThreatSyncにアクティビティを集約し相関分析、保護処理
  • 全ソリューションと連携可能
  • USPというコンセプトのもとにXDRソリューションを提供
  • ThreatSyncを使ったXDRソリューション
    • クラウドベースでありプラットフォーム
    • 複数のセキュリティ製品連携
    • システムのインシデント検出~保護まで一元化
    • シングルベンダーによるXDR展開のメリット
    • 横展開、相関分析ができる

XDRソリューション例

  • VPNエンフォースメント
    • FireboxとEPDR
    • 安全なPCからのみFireboxに対してVPN接続を許可する
  • WiFiアクセスエンフォースメント
    • WiFiAPとEPDR
    • アクセスポイントに対しEPDRによって保護されたPCのみが接続できる
    • 異常をEPDRで検知し接続をブロック
  • リスクベース認証
    • AuthPointと多複数サービス
    • 認証強化だけでなく正しい人が認証しようとしているか?
    • 東京で認証が行われようとしているの大阪にトークンがある場合
    • 東京で認証を試みた5分後に海外から認証を試みた場合
    • こういった不審な認証をブロック
  • IPブロック
    • FireboxとEPDR/Wi-Fi APの連携
    • EPDRで登録された特定のIPからのアクセス許否
    • 不正なアクセスポイントのブロック
    • 社内LANの保全、二次感染を防ぐ

最後に

各セキュリティレイヤーを分離してセキュリティを考えるのではなくすべてのレイヤーのセキュリティを包括的に考えるXDRの考え方について学ぶことが出来ました。実際にソリューション例についても説明がありユースケースを想像しやすく勉強になりました。

今回紹介されているWatchGuardの製品については下記からご覧いただけます。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.