本ブログは米国で公開されたブログ「Introducing Cortex XDR」の日本語翻訳です。

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション（検知）・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。

Cortex XDRは、AI活用のための業界唯一のオープンな統合型セキュリティ プラットフォームCortex上の最初のアプリケーションです。Cortex XDRはセキュリティ製品毎に存在する情報の縦割りの壁を打破します。サイバーセキュリティ チームは製品別にセキュリティ情報が分断されていたことにより、情報の縦割りの壁に阻まれインシデント対応が遅くなっていました。Cortex XDRは、ネットワーク、エンドポイント、クラウドにわたる詳細な情報と、機械学習による分析機能による、セキュリティ運用の全体最適と強化を実現します。

サイバーセキュリティの人材不足、スキル不足は深刻な問題です。2018 (ISC)² Cybersecurity Workforce Study (サイバーセキュリティ ワークフォース スタディ)の推計では、300万近くの人材が不足していると言われています(英語)。特に、ネットワーク分析、コンピュータ フォレンジック、クラウド管理の分野における専門家不足が指摘されています。将来のITの拡大、ビジネスゴールの達成のため、脅威の発見と特定、調査、被害の軽減などセキュリティ運用の複雑性を排除し、人手を増やすことなく効率を向上させる全体的な取り組みはもはや待ったなしの状況です。

Cortex XDRは、全体最適をはかり、AIによるセキュリティ運用支援によって、従来とは異なるディテクション＆レスポンスを実現します。プラットフォーム化された各層のセキュリティが提供される詳細な情報は自動的に相関付けされることでAIが正確に分析します。たとえユーザー、エンティティ（組織）が何千、何万あろうとも、専門家のようにAIが自動的にプロファイリングし、不審や危険な活動を見つけ出します。全体最適されたセキュリティプラットフォームでは視界はクリアになっているので、根本原因と隠れた脅威の全体像をとらえやすくなります。さらに、各層から集められた詳細な情報に対する強力な検索 エンジンで脅威の証拠や手がかりを高速に検索できたり、いったん発見された脅威から得られた知見を活かし、見つけたいものをより見つけやすく、類似の脅威を検出しやすくする、挙動に対するカスタム ルールを作成も可能です。

Cortex XDRは以下のような機能を提供します。

• AIによるハンティング: 詳細なログデータを機械学習で分析することで、プロアクティブにマルウェア、高度標的型攻撃、内部犯行および不注意で危険な行為を検出します。行動分析により、高い精度で脅威を検出できるだけでなく、カスタム検出ルールによって、非常に高度で機械の裏をかく攻撃者の戦術と手法にも対応できるようになります。
• 調査時間の短縮:クリック1つでイベントやアラートに関わる、根本原因となるプロセスやネットワークなど詳細情報、時系列での事象の記録を収集可能です。ネットワーク、エンドポイント、クラウド、全体にわたる時系列での前後関係、過程についてのまとめられたわかりやすい情報が瞬時に集まるため、アラート対処の負荷を軽減し、アラート調査の効率化とスピードアップにつながります。
• 防御システムの再プログラム: Cortex XDRは防御製品、つまり制御ポイントと統合されています。検出した脅威の再発防止、誤検知対策、そして調査の一層の効率化のために制御ポイントをすばやく調整できます。原因や経緯の把握だけでなくレスポンスも忘れてはなりませんが、防御製品と一体化しているので効率のよい再調整やチューニングが可能です。
• SaaSだから容易に導入: Cortex XDRはSaaSアプリケーションとして提供されます。部門やプロジェクト単位での導入も容易、ビジネスのスピードの妨げになりません。Cortex XDRは、Cortex Data Lakeに集約されたネットワーク、エンドポイント、およびクラウドのログデータを分析します。Cortex Data Lakeは、AIによる分析に必要な豊富で詳細なデータを保存するための最適なレポジトリです。既存のパロアルトネットワークス製品への投資を最大化、長期化できるようになります。
• 組み合せ自由な情報ソース: Cortex XDRは、ネットワークデータのみ、エンドポイントデータのみ、クラウドデータのみを利用してディテクション＆レスポンス可能です。Trapsエージェントから取得するエンドポイントアクティビティログデータ単独を情報ソースとしてAIに分析させてエンドポイントのみのディテクション＆レスポンスも可能ですし、それに次世代ファイアウォールのアクティビティログを加えて、NTA（Network Threat Analytics）やUEBA（User and Entity Behavior Analytics）まで加えて、全体にわたるディテクション＆レスポンスまで拡張することもできます。
• Traps 6.0: 未知のマルウェアおよび未知のエクスプロイトなど様々な脅威に、オールレンジでエンドポイントを防御します。新たに挙動ベースの脅威防御も加わりました。1度に1つのプロセスしか分析しない挙動ベースの防御機能と異なり、Trapsは複数のプロセスにわたって一連のイベントの流れを監視し、攻撃を検出します。攻撃の流れを検出して阻止します。その他に、Linuxコンテナ向けのプロテクション機能を強化し、Linux ELFマルウェア防御に対応したのと、Cortex XDR用にエンドポイントでの詳細なアクティビティログを提供できるようになりました。Cortex XDRのライセンスにはTrapsの全機能が含まれます。Trapsは、エンドポイントに対する脅威をブロックしたり、ディテクション＆レスポンス用に非常にきめ細かいアクティビティログを収集できる機能を、軽量で一つのエージェントで提供します。プロテクションだけ必要ならTraps単体、ディテクション＆レスポンスまで実施したいならCortex XDR、ニーズに合わせて選択できます。