【レポート】次世代XDRで何が変わる？ ～ネットワークからエンドポイントまでゼロトラストセキュリティ　＃ Security Days Spring 2023

どうもさいちゃんです。

この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「次世代XDRで何が変わる？ ～ネットワークからエンドポイントまでゼロトラストセキュリティ」というセッションのレポートブログになります。

セッション概要

ネットワークからエンドポイントまでのアクティビティを広範囲に集約し、社内外のネットワーク全体を包括的に保護する対策方法、および全てのアクセスを信用せずに疑ってかかる「ゼロトラスト」をベースとしたXDR(Extended Detection and Response) ソリューションの効果について解説します。ウォッチガードではUnified Security Platform(USP)のコンセプトをベースとしたアプローチを採用しており、当社の複数のソリューションをご利用頂くことで次世代XDRの提供を実現します。

スピーカー

ウォッチガード・テクノロジー・ジャパン（株）　システムエンジニア部 部長　猪股 修　氏

レポート

XDRの一般概念

• 2027年までに最大40％のユーザーでXDRが利用される
• 多くのエンドユーザーがXDRを意識したセキュリティ対策を検討
• SASI、ゼロトラストの次にXDR
• セキュリティベンダーもXDRを提案
• 現状はEDRやネットワークセキュリティを提供しているベンダーがXDRを提供し始めている
• XDRは共通概念ではなく各ベンダーによって少しずつ違う
• なぜXDR？
  • 包括的なセキュリティ対策
  • サイロ化された状況
  • 複数の製品を使っているが横連携ができていない
  • 攻撃者はその隙間を狙って攻撃してくる
  • 単一ベンダーによるXDRが重要になってくる
• XDRとは
  • EDRやMDR、NDRの拡張版
  • 複数のセキュリティ製品（3つ以上）を1つのセキュリティプラットフォームに統合
  • セキュリティインシデントに対してベンダー固有の技術を活用する
  • 脅威検出～レスポンスまで（クラウドで）
  • セキュリティ分析
  • 相関分析　
  • スコアリング
  • インシデントレスポンス調査
  • 修復実行
• XDRの必要性
  • 技術が高度であってもセキュリティーレイヤーを分離して展開するとすり抜けは可能
  • 異なるレイヤーのセキュリティ対策を包括的に管理、相関分析、スコアリング、修復

WatchGuardの製品紹介

• ネットワークセキュリティ（Firebox）
  • クラウドもオンプレも〇
  • ベスト・オブ・ブリード
  • 最良のものを組み合わせる「真の多層防御」
  • ゼロデイマルウェア対策
  • シグネチャによる既知ウィルス検知
  • AIによる検知
  • クラウドサンドボックスエミュレーション技術による検知
  • いろんなセキュリティレイヤーを同時に扱う
• エンドポイントセキュリティ（EPDR）
  • ゼロトラストアプリケーションサービス
  • プロセスやファイル、レジストリ等を100％調査分類
  • 許否リスト、許可リストとの照合
  • AIによる調査（ふるまい）
  • サイバーセキュリティエキスパートによる調査
• DNSファイアウォール（DNSWatchGO）
  • DNSファイアウォール
  • 名前解決の段階でブラックリストと照合
  • 名前解決をさせないようにする
  • 出口対策
  • 自宅にいてもカテゴリベースの制御（ゲームやショッピングサイトへのアクセス禁止）
• Wi-Fiアクセスポイント
  • クラウド管理型
  • 無線LANコントローラー不要
  • 管理者はクラウドに接続してアクセスポイントの運用管理
  • ゼロタッチベース
  • リモートアクセスポイント（RAP）対応
  • Wi-Fi APとファイアウォール間でVPNトンネルを実現
  • セキュリティ機能（不正アクセスポイントの検知）もリリース予定
• 多要素認証（AuthPoint）
  • トークン認証
  • 完全クラウド型（SaaS型）
  • スマホアプリを利用可能
  • 安価
  • ユースケース
  • クラウドサービスを複数利用
  • リモートアクセスVPN
  • PCログオン認証
  • モバイルアプリがない場合にはハードウェアトークンもある

WatchGuardが提唱するXDRとは

• WatchGuardプラットフォーム
• インターネットを介してWatchGuardクラウドと連携
• WatchGuardクラウドとの連携で一元管理
• ThreatSyncにアクティビティを集約し相関分析、保護処理
• 全ソリューションと連携可能
• USPというコンセプトのもとにXDRソリューションを提供
• ThreatSyncを使ったXDRソリューション
  • クラウドベースでありプラットフォーム
  • 複数のセキュリティ製品連携
  • システムのインシデント検出～保護まで一元化
  • シングルベンダーによるXDR展開のメリット
  • 横展開、相関分析ができる

XDRソリューション例

• VPNエンフォースメント
  • FireboxとEPDR
  • 安全なPCからのみFireboxに対してVPN接続を許可する
• WiFiアクセスエンフォースメント
  • WiFiAPとEPDR
  • アクセスポイントに対しEPDRによって保護されたPCのみが接続できる
  • 異常をEPDRで検知し接続をブロック
• リスクベース認証
  • AuthPointと多複数サービス
  • 認証強化だけでなく正しい人が認証しようとしているか？
  • 東京で認証が行われようとしているの大阪にトークンがある場合
  • 東京で認証を試みた5分後に海外から認証を試みた場合
  • こういった不審な認証をブロック
• IPブロック
  • FireboxとEPDR/Wi-Fi APの連携
  • EPDRで登録された特定のIPからのアクセス許否
  • 不正なアクセスポイントのブロック
  • 社内LANの保全、二次感染を防ぐ

最後に

各セキュリティレイヤーを分離してセキュリティを考えるのではなくすべてのレイヤーのセキュリティを包括的に考えるXDRの考え方について学ぶことが出来ました。実際にソリューション例についても説明がありユースケースを想像しやすく勉強になりました。

今回紹介されているWatchGuardの製品については下記からご覧いただけます。