- 2025/12/05
- XDR
第2回 「ログが大量すぎて分析できない」-【3回シリーズ】もう『気づけない』とは言わせない!ランサムウェア被害の半数を防ぐ XDR可視化術
Post by : Yohei Ohashi
1. ログ分析が不可欠な理由と現代のセキュリティ課題
企業組織が直面するセキュリティ課題は多岐にわたります。まず、攻撃手法の高度化が挙げられます 。攻撃者は生成AIのようなツールを利用するため、攻撃がより洗練され、従来の防御手法をすり抜ける事態が発生しやすくなっています 。このような状況において、ログ分析は単なるシステムの記録ではなく、「脅威の足跡」として機能し、侵入後の早期検知と対策に重要な要素となります。
また、ゼロトラストやクラウド移行の進展により、社内で利用するITツールやセキュリティツールが増加しています 。これに伴い、保全すべき対象(攻撃にさらされる領域)が増加しているため、あらゆるツールのログを監視することが重要です。
さらに、長らく続くセキュリティ人材の不足という課題があります 。この課題を克服し、限られたリソースと少人数で最大限のセキュリティを確保するためには、効率的に脅威を早期発見できる優れたログ分析ツールを使用することが重要となります。
攻撃者は、例えばVPNの脆弱性を利用して侵入した後、ADサーバーに対する権限昇格を行い、ファイルサーバーへランサムウェアを仕掛けるなど、複数のステップを踏みます。この一連のプロセスにおいて、ネットワーク、ID、ワークスペースといった様々なレイヤーを経由するため、ログを多角的に分析することが求められます。
2. ログ分析ツール「SIEM」が抱える限界
ログ分析といえばSIEM(Security Information and Event Management)が一般的に使われますが、近年XDR(Extended Detection and Response)も検討が進んでいます。SIEMとXDRを比較すると、SIEMが事後の詳細な調査を重視するのに対し、XDRはリアルタイムの検知と即座の対応を重視するソリューションと言えます。
SIEMの課題点として、リアルタイム検知においてユーザーの期待に応えられていないデータが存在します。例えば、MITRE ATT&CKで公開されているテクニックの検知できる割合は87%に留まり、実際に攻撃を検知できている種類は19%という結果も出ています。また、アラートが飛ばないこともあります。
これは、SIEMの運用には、適切なルールのチューニングや継続的なメンテナンスが不可欠であるためです。導入段階からログを取り込むための設定や検知ロジックの作り込みが難しく 、結果として、高機能であるにもかかわらず、使いこなすことが難しいという課題があります。
さらに、SIEMの導入には時間がかかる傾向があり、一般的な例では、要件定義に2ヶ月、設計、構築、テストに4ヶ月ほどかかり、構築完了までに1年程度かかるケースもあります。運用を使いこなすために外部コンサルを入れると、費用がかさむという問題もあります。運用にはセキュリティとSIEM製品に詳しい人材が必要であり、アウトソースすれば費用と長期契約が発生します。
3. XDRによる迅速なセキュリティ運用と可視性の向上
XDRは、EDR(Endpoint Detection and Response)を拡張し、監視対象を広げたシングルプラットフォームです。エンドポイントのログに加え、ID、ネットワーク、クラウドのログを集め、統合・相関分析を行うことで、異常を検知した際にMDR(Managed Detection and Response)チームがユーザーに通知する仕組みを提供しています。
XDRは、SIEMと比較して導入期間が短く、POCを含めておよそ2ヶ月程度で完了します。APIやSyslog連携などの簡単な設定でインテグレーションが完了し 、ログの正規化や検知ロジックはAIが自動で行うため、初めの難しい作り込みは不要です。これにより、導入と運用の容易さが大きな利点となります。
XDRがもたらす主な利点は以下の通りです。
- 可視性の向上:異なるフォーマットのログを集約し、相関分析を通じて一つのインシデントとして可視化します。ダッシュボードのカスタマイズも不要です。
- インシデント対応の生産性向上:異常な動きを検知した際に、自動または手動で即座の対応が可能です。対応には、IDの停止やEDRと連携した端末の自動隔離、プロセスの停止などが含まれます。
- コスト削減:良いツールとMDRを利用することで、社内のアナリスト雇用コストを削減できる可能性があります。
4. サイバーリーズンXDRの強み
当社のXDRは、特に以下の点で強みを持っています。
- 高い検知能力:EDRベンダーとしての実績があり、高い検知能力に自信を持っています。第三者評価機関でも高い評価を得ています(検知率100%、誤検知なしなど)。
- オープンなXDR:ベンダーロックインのないアプローチを採用し、業界のベストなソリューションと積極的に連携することで、お客様に最適なソリューションを提供します。特に、連携する製品群について、特定のカテゴリー(ワークスペース、ID、ネットワークなど)で一度購入すれば、そのカテゴリー内の連携製品であれば種類や台数を問わず追加費用がかからないというライセンス体系も特徴です。
- MDRサービスとセットで提供:ツールを販売するだけでなく、MDRサービスをセットで提供しています。24時間365日、日本語対応のプロのアナリストが監視を行うため、専門家に運用を任せたい企業にマッチします。
XDRの分析力として、様々なデータソースから来たアラートや不審なログ(正規化済み)を検知ロジックで絞り込み、データソース間の相関解析を通じて、最終的に時系列のストーリーとしてわかりやすいインシデント図に紐付けて表現します。
5. まとめ ~XDRが推奨されるケース~
以下の要素を重視する場合、XDRの導入が特に推奨されます。
- リアルタイム検知と即座の対応
- 導入と運用の容易さ
