サイバーセキュリティの脅威から、包括的かつ一元的にXDRでシステムを守る！
サイバーリーズン事業戦略発表会レポート

3月28日、サイバーリーズンが2023年の事業戦略発表会を開催した。同社はイスラエルの軍事技術から生まれたAIによるエンドポイント・セキュリティ対策ソリューションを提供している。日本では2016年に合同会社を設立し、東京・大阪・名古屋で事業を展開中だ。同社の代表取締役社長 山野 修氏らが、今年の見通しや戦略について説明した。

引き続き増加するサイバーセキュリティの脅威。サプライチェーン攻撃も表面化

まず山野氏は昨年(2022を年）を振り返った。同社は日本で法人を立ち上げて7年目を迎えるが、すでに数百社・数百万のエンドポイントに製品が導入されている。相変わらずランサムウエアが猛威を奮ったり、サプライチェーン攻撃も表面化しており、EDR（Endpoint Detection and Response）の必要性が認知されてきたという。特に中堅企業での導入が多く、昨年と比べて顧客数が80％も伸び、EDRの普及期に入ったとみている。

同社では、製品の管理画面のローカライズやSOCアナリストの現地対応などに力を入れており、社員も約250名まで増強。またEDRの提供だけでなく、インシデント対応サービスや模擬演習サービスなど、予防サービスやコンサルティングも含めて提供している。 海外の調査機関・MITREの評価においては、同社の製品が最高の分析能力でリアルタイムに攻撃を検知できるという評価を受けた。その結果、ガートナーのMagic Quadrantでも、Endpoint Protection Platform分野においてリーダーの1社に位置づけられた。日本国内でもIDC Japanやデロイトトーマツ、ITRなどの調査でシェアNo.1に輝いている。また政府情報システムのためのセキュリティ評価制度「ISMAP」にも登録されている。

2023年度におけるサイバーリーズンの事業戦略、3つの重点施策とは？

さて今年4月以降の展望と事業戦略だが、引き続きランサムウェアやサプライチェーン攻撃、国家や重要インフラに対する攻撃が続くものと予測され、持続的なセキュリティ対策が求められているという。さらに日本の場合は、この5月のG7広島サミットが開催されるため、それに合わせて攻撃が増えることが懸念される。

警察庁による直近の公開調査では、「ウイルス対策ソフトを導入している企業のうち92％が検出できておらず、ランサムウェアの被害にあってバックアップ対策を取っていたにもかかわらず81％が復元できなかった」と答えている。そして被害企業の46％が復旧費用に1000万円以上かかっている。同社のグローバル調査では、ランサムウェアで身代金を支払った企業のうち80％が再び攻撃を受けた。

社内でセキュリティ教育を行っても効果が得られないという声もあり、同社ではサイバーセキュリティ学習者向け専用ページ「サイバーリーズン・セキュリティ・アカデミー」を開設して、学習動画で啓蒙活動を進めているところだ。しかし日本企業では、セキュリティ人材の不足や、サプライチェーン攻撃リスクの高まりが深刻な問題になっている。

そこで同社では2023年の重点施策として、以下の3つを掲げていくという。1つ目は、同社の「Cyberreason XDR」の本格展開を開始すること。2つ目はEDR/MDRが普及期に入ったため、パートナーと協力してマーケットの拡張を図ること。3つ目は多様なセキュリティサービスの提供と、その体制を広げていくことだ。

脅威からシステムを包括的かつ一元的に守るCyberreason XDRの強み

続いて、本格展開をするCyberreason XDRに関して、同社の戦略事業推進室の桜田仁隆氏が説明した。

そもそもXDRとは、簡単にいうと「セキュリティの脅威検出とインシデントに対応するツール」である。同社のXDRは、セキュリティ対策において、脅威の検出・調査・修復という3つのポイントを簡素化し、迅速に対応することを目的に考えられている。これにより事業継続性、インシデント対応の短縮化、コスト削減効果が期待できるようになる。

たとえば端末側でフィッシング詐欺を受けると、アカウント侵害や端末情報の抜き盗りなど、何がしかの被害によって、さらにネットワーク経由で水平展開され、最終的に機密情報が盗まれたり、暗号化されるといった被害を受けることになる。 このとき同社のXDRを導入していれば、攻撃の入口から出口までを1つのコンソール上で可視化し、誰がどこから、どうやって侵入し、何をしたのか、すべてを把握できるようになる。そこで対処についてもメール、ID、端末、ネットワークなど、それぞれ重要なポイントにおいて侵害シナリオに沿った対策を即戦力で実施できるようになる。

Cyberreason XDRでは、広範で深い情報を集めて分析するために、エンドポイントだけでなく、あらゆる外部のデータリソースを収集し、すべての脅威を洗い出したうえで、横断的に相関分析を実施する。そして関連する複数の脅威検知を1つの攻撃ストーリー（いつ誰がどこで何をどうした）として集約し、怪しい動きという造語の「Malop」（Malicious operation）として、エンドポイントを超えた攻撃の全体像を炙り出す。

具体的にCyberreason XDRを提供する際には、「ツールによる自動化」と「人手を介在したサービス」の2つを組み合わせている点がポイントだ。まず大量のログを取り込んでフィルタリングし、それらを4段階（単体・統計・相関・シナリオ）で自動分析し、前出のMalopまで進める。さらに上がってきたMalopを人手によって再分析することで、誤検知・過検知を防ぐ。そこで深刻度を定義し、対処の優先度によってトリアージまで実施。最終的に取るべき対応をアドバイスするところまでカバーする。

同社のXDRを採用する場合は、導入から運用中までさまざまなサービスで支援していく。たとえば、どういったデータソースをつなぐと、どんな効果が得られるのか、必要最小限で最大効果を発揮できる組み合わせを検討して提案。実際にMS AzureとGCP、CiscoとFortiというように、そのソースをつなぐ方法も異なってくる。そういう接続支援から製品サポート、技術支援まで可能な限り対応していくという。

製品パッケージには、対応データソースの範囲によって「Professional版」「Business版」「Enteprise版」の3タイプを用意しているが、IDやネットワーク、クラウドというように個別ポイントでの購入も可能だ。なお基本サービスでは、データ容量10TB、保存分析期間3ヵ月（90日）になっている。それ以上で利用する際は別途オプションも用意している。

Cyberreason XDRは、外部の評価機関から最高評価を受けており、またベンダーロックインのないオープン連携も進めている。データも日本・EU・USの各リージョンで厳密に保管・管理できる。製品のみならず、人手も含めたさまざまなセキュリティサービスによって、タイムリーな運用支援までサポートする点が大きな強みと言えるだろう。

XDRも視野に、5300端末にEDRを導入したオープンハウスグループの事例

本発表会では、不動産事業を軸に展開しているオープンハウスグループの事例も紹介された。

オープンハウスグループは、前出のXDRの導入に先立ち、2021年12月にEDRを採用している。その理由は、利用中のEPP（Endpoint Protection Platform）のライセンスが切れるためだった。最近は攻撃手法が多様化しており、パターンファイルだけでは検知できない未知の攻撃にも対処する必要があり、振る舞い検知ができるソリューションを探していた。そこでサイバーリーズンの製品が見つかったという。

現在、5300端末にEDRを導入しているが、自社のセキュリティチームによって運用されている。サイバーリーズンのEDRを導入した結果、振る舞い検知によってエンドポイントンの安全性が増した。また何かインシデントが起きてもリモートで端末を操作できる点も評価している。このほか管理GUIが使いやすく、調査コストも削減できたそうだ。 同社ではEDRに続き、XDRの導入も準備中だ。これは幅広いシステムを一元的に保護したいという思いからだ。各システムからのログを関連付けて、迅速にインシデント対応を行える点がXDRの魅力であり、オペレーションの負担軽減にも期待しているそうだ。今後、XDRについては、社内で使うクラウドとも連携していく方針だ。より広範に深い攻撃の分析を実現するために、ますますサイバーリーズンのセキュリティソリューションが欠かせないものになっていくだろう。