ITR Review 2023年6月号『XDRを取り巻く2つの誤解』(#R-223065)で、「XDRを導入する目的は、インシデントレスポンスの効率化」であると述べた。この実現には、サイバー攻撃を俯瞰的に見ることが求められる。本稿では、サイバー攻撃を俯瞰的に見ることの価値と、XDRがそれにどのように寄与するのかを具体例をあげて説明する。
企業に対して行われるサイバー攻撃の脅威が増しており、特定の企業や個人を狙った標的型攻撃も活発化している。これらの攻撃はどのように検知されるのだろうか。まずは、フィッシングサイトに誘導する標的型メールを利用した攻撃を例にあげ、詳細に説明する(図1)。
各種セキュリティ製品が、攻撃の途中で脅威を検知して攻撃を遮断することもあるが、ここでは説明をしやすくするため、セキュリティ製品が攻撃を検知はしたが遮断できずに、セキュリティ侵害が発生したという前提で解説する。では、どのセキュリティ製品が検知し、ログ/アラート/イベントをあげるだろうか。
標的型メールによる攻撃は、図2に示す各ステップにおいてメール/ネットワーク/エンドポイントセキュリティ製品と複数のセキュリティ製品が検知する。つまり、その全容を把握するには、複数のセキュリティ製品を確認する必要があり、これはほとんどのサイバー攻撃に関して当てはまる。