ビジネス&テクノロジー

FortiXDR - 完全に自動化された脅威の検出、調査、およびレスポンス

投稿者 David Finger | 2021年2月18日

デジタル・イノベーションは、重要なアプリケーションの実行、オンライントランザクションの実行、リモートワーカーの接続、重要なデータの収集と処理に使用されるビジネスとネットワークに変革をもたらしました。そして、これまでと同様に、これらの進歩により、新たなセキュリティ課題が発生し、これらの課題に対応するために設計された新たなセキュリティソリューションが生まれました。しかし、変革のスピードが速いため、組織はこれらのソリューションを実装する際に、より広範なセキュリティインフラストラクチャを考慮する時間がほとんどありませんでした。その結果、今日のセキュリティチームは、これまで以上に、さまざまなベンダーから提供される膨大なセキュリティツールのコレクションを管理し、組織全体で何らかの可視性と一貫性のあるポリシーのオーケストレーションとエンフォースメントを確立する必要に迫られています。その他の課題の中でも、セキュリティチームは、複雑で大きく分離されたセキュリティツールセットの中で、より多くの、そしてより有害なサイバー攻撃を検出し、対応することに苦労しています。

当社のお客様と、オンラインの経営者向けのブリーフィングを通じてお話をする中で、ほとんどのお客様は、このような複雑さがもたらす物流面や技術面での課題を理解しており、何十もの異なるセキュリティベンダーや製品から、必要に応じてポイント製品で補完しながら、一握りかそれ以下のセキュリティプラットフォームに移行することに関心を持っています。そのため、ガートナー社によると、80%の組織がセキュリティベンダーを統合しているか、または統合を計画していることは、私にとっては驚くべきことではありません。しかし、問題は「統合する際に、どのベンダーを選択するかをどうやって決めればいいのか」ということです。

ベンダーへの満足度、プラットフォームで利用可能なコントロールの幅、各コントロールの有効性と機能など、現実的な考慮事項がありますが、そのプロセスを簡素化して統合するために、XDR(eXtended Detection and Response)と呼ばれる統合化方針が登場しました。ガートナー社は、「複数のセキュリティ製品から自動的にデータを収集し、相関関係を持つセキュリティインシデントを検出し、レスポンスするためのプラットフォーム」と定義していますが、XDRは、既存の技術を活用して複雑で分散した環境に統一されたビジョンとコントロールを作成するための本質的な統合原理を可能にします。これは、調達主導の意思決定(「ベンダーが製品スイートをお得に提供してくれた」)よりも、はるかに好ましい統合化方針です。

これは素晴らしいアイデアのように聞こえるかもしれませんが、表面的に見えるよりもはるかに複雑です。XDR ソリューションの中には、自社のポートフォリオ内で複数の製品を統合できる大手セキュリティベンダーが提供するものもあれば、異なるベンダーのコンポーネントの上に正規化レイヤーを提供しようとする小規模な新興企業が提供するものもあります。それぞれのアプローチには長所と短所があります。最初のケース(シングルソリューションベンダー)では、統一されたビジョン、共通のポリシー体験、緊密な製品間の相互関係、その他の利点を期待する必要があります。最大のデメリットは、そのベンダーのポートフォリオ内での選択肢が限られていることでしょう。対照的に、「オープン」なXDRアプローチを選択すると、シングルベンダーの制約は緩和されますが、統合、分析、自動化などの他の分野では不十分になる可能性があります。私の経験では、多くの製品(および複数のバージョン)にまたがる中央管理を確保するための努力は相当なものです。管理の上にアナリティクスや自動化という大きな仕事があることは言うまでもありませんが、これを多様なベンダーの中で指数関数的に乗算すると、そのようなベンダー製品には膨大な労力がかかり、最終顧客にはさまざまな制限が生じます。

AIドリブンなセキュリティ運用

FortiXDR - サイバーインシデントを最初から最後まで自律的に管理する唯一のXDRソリューション

フォーティネットでは、単一の一貫したシステムとして動作するように設計された、統合された複数の製品ソリューションを構築してきました。最初に、Advanced Threat Protection Framework、そして最近では、Fortinet Security Fabric(フォーティネット セキュリティ ファブリック)があります。セキュリティ ファブリックは、FortiGuard Labsのセキュリティサービスを搭載した広範で統合された自動化のためのサイバーセキュリティプラットフォームで、ネットワークとクラウドを介してエンドポイントやIoTからデジタルエンタープライズを保護します。FortiXDRは、フォーティネット セキュリティ ファブリックを拡張するために設計されており、複雑さの軽減、検出の高速化、アラート調査の自動化、サイバー攻撃へのレスポンスの調整を実現します。FortiXDRは、セキュリティ ファブリックの一部として、フォーティネットのファブリック対応ソリューションのポートフォリオの共通データ構造、相関するテレメトリ、統一された可視性、ネイティブ統合、シームレスな相互運用を活用することができます。FortiXDRは、自動分析、インシデント調査、事前に定義されたレスポンスをすぐに行うことができます。FortiXDRは、セキュリティインシデントの発見と減災の以下3つのステップすべてに、これらの高度な機能をもたらします。

1. 拡張された検出機能:FortiXDRは、フォーティネット セキュリティ ファブリックで共有されている多様なセキュリティ情報を活用して、相関関係と分析を行います。また、業界で最も広範なポートフォリオ全体の情報を収集できるため、特に検出を回避するように設計された脅威を発見するために使用できる脅威のテレメトリを増やすことができます。

2. 拡張された調査機能:FortiXDRは、検出された脅威の調査に人工知能(AI)を適用した初のXDRソリューションです。他のXDRソリューションでは、このプロセスを人間のセキュリティアナリストに任せているため、プロセスが遅くなり、システムが人為的なエラーに陥りやすくなっています。また、ほとんどのネットワークが生成するアラートの量を考えると、多くのセキュリティチームは、すべての潜在的な脅威を追い詰めるだけのリソースを持っていません。

従来は、検知が開始されると、セキュリティアナリストは、潜在的なインシデントを調べ、調査と検証の方法を決定し、その範囲と関連するコンポーネントを評価し、一目見ただけでは検出されにくい深い脅威を示していないかどうかを確認してから、適切な対応を決定しなければなりません。

FortiXDRの世界初のAIベースのXDRソリューションは、希少な人的資源に頼るのではなく、インシデント調査を完全に自動化します。特許出願中のダイナミック コントロール フロー エンジンを搭載しており、FortiGuard Labsが提供する脅威データやリサーチフィード、およびインシデントレスポンダーの最前線の専門知識を使用して、継続的にトレーニングを行います。このエンジンは、アラートのコンテキストを確立し、脅威が本物かどうかを徹底的に調査し、攻撃の性質と範囲を特定することで、レスポンスシステムがどのように対処すべきかを判断します。また、セキュリティアナリストとは異なり、FortiXDRはこの機能を数秒のうちに実行し、他のXDRソリューションが生み出していた露出のギャップを効果的に解消します。

3. 拡張されたレスポンス機能:FortiXDRはセキュリティ ファブリックに完全に統合されているため、効果的で自動化された調整されたレスポンスを実行するために必要な、利用可能なあらゆるリソースをネイティブに集結させることができます。また、そのレスポンス機能は、ほとんどのセキュリティ情報フォーマットよりも統一されているため、お客様はコネクタを活用して、多くのサードパーティ製ソリューションをレスポンスに結びつけることもできます。

FortiXDRの主なメリット

FortiXDRは、検出、調査、およびレスポンスを迅速化するだけでなく、独立したセキュリティ製品を統合するための説得力のあるケースを組織に提供します。

初期導入者によると、調査対象となるアラートの数を平均77%以上劇的に削減し、サイバー攻撃が「ノイズの中に紛れ込んでしまう」ことのないようにすることができます。また、前述の通り、FortiXDRは、検知、調査、およびレスポンスプロセスのすべての要素にAIを搭載した唯一のXDRソリューションです。これにより、セキュリティチームの運用負担を軽減し、専門のツールを使用した専門家では30分以上かかる複雑なタスクを数秒で処理することができます。また、ヒューマンエラーもありません。

また、エンドツーエンドでサイバーキルチェーンに対応するために導入可能な、独自の最高評価を受けたコントロールの幅広いポートフォリオを備えているため、より多くのベンダーを統合する機会は今後も増えるでしょう。

これにより組織は、検出に要する平均時間(MTTD: Mean Time To Detect)とレスポンスに要する平均時間(MTTR: Mean Time To Respond)を短縮し、サイバーインシデントの影響を軽減すると同時に、セキュリティ運用の効率性と全体的なセキュリティ態勢を改善することができます。これにより、ベンダーのスプロールのクラッシュに対処しながら、戦略的なソリューションの統合や分散ネットワーク全体にわたる自動化された脅威検知とレスポンスにより、経験豊富なセキュリティ専門家を組織のセキュリティのより高い価値ある貢献のために解放し、組織自体が効果的に競争し続けることができます。