「統合型」と「API ベースの拡張型」:XDR プラットフォームの違い
2023 年 4 月 19 日 Iratxe Vazquez 著
ソフトウェアの世界では、統合型と拡張型という言葉が同じ意味で使われる場合もありますが、セキュリティリーダーは、組織内の「統合型」プラットフォームと API ベースの「拡張型」プラットフォームの違いを理解し、その違いが、コストから効率に至るまで、すべてに大きな影響を与えることを理解する必要があります。まず、用語の定義を以下に述べます。
- API ベースの拡張型:
拡張型 XDR プラットフォームは通常、複数のベンダによって開発されています。つまり、異なるチームが異なる基準で作成した複数のセキュリティソリューションで構成されているため、データ構造、機能性などを共有していません。さらに、これらのアーキテクチャや設計の違いが、統合された各ベンダにも波及することになります。統合型 XDR ソリューションは API で接続されており、接続されていない複数のデータベースで全く異なるデータを持ち、他のテクノロジとシームレスに連携していない場合がよくあります。 - 統合型:
統合型プラットフォームは、セキュリティソリューションのソースコードにアクセスできるベンダによって開発され、データ構造が共有されています。これにより、ベンダはセキュリティコントロールを高度に統合し、拡張型プラットフォームやその他の方法では実装できない共同ユースケース、および統合データベース内の共有データ構造を作成することができます。
統合型 XDR プラットフォームと、拡張型 XDR プラットフォームの違いについて上述しました。次に、マルチドメインの検知・レスポンスソリューションである XDR を API 経由で実装することが理想的とは言えない 6 つの重大な理由を以下に説明します。
統合型 XDR プラットフォームと拡張型 XDR プラットフォームの違い
1. 「深部に至る高度な統合」と「拡張」
将来的に新たな検知・レスポンス能力を拡張する場合のためにも、細部に至る効果的な統合を目指して、包括的なデータ、ログ、テレメトリの統一を図ることが非常に重要です。API を介したセキュリティコントロールの拡張の場合は、同じデータ構造を共有しないため、表面的な統合にとどまる場合が多くあります。
2.API のバージョニングにより XDR は脆弱になる
API ベースの XDR の場合、中長期的な持続可能性にリスクが存在します。ベンダは、新規および既存の API 機能を利用するために、常に更新を必要とする API に変更を適用する可能性があります。このような変更や更新は、統合や互換性の問題につながり、セキュリティチームの作業負担を増大させる可能性があります。
3. 標準的な統合機能の欠如
短期的に見ても、API には標準がないため、XDR の実装は他のベンダがセキュリティコントロールに実装している要素に大きく依存します。そのためどのような統合ソリューションにおいても一貫して同じデータを取得し、一貫して攻撃者に対応する、ということが困難になります。このため、一貫性のある完全なマルチベンダおよびクロスドメインセキュリティプログラムの実装も容易ではありません。
4. 柔軟性に欠けるため、脅威要因と同じスピードで進化できない
脅威要因は絶えず進化し、新しい回避手法を生み出しています。そのような新しい脅威要因の手法に対応するには、新しいアクティビティセンサが必要で、また新しいタイプのテレメトリやデータ分析を収集し、自動化する必要もあります。これは、非常にアクティブでダイナミックな業務です。新しい振る舞いを監視し、新しいテレメトリを収集し、複数のドメインにわたって新しいデータ相関機能を実装する必要も発生します。つまり、プロアクティブな検知とレスポンスは、動的な機能であるのに対して、API による統合は静的な機能です。一度実装されると、進化するためのコストがかかるため、長期間静的なままとなり、セキュリティチームにとって、効率を上げる足枷となります。
5. セキュリティとスケーラビリティの問題
すべての API が安全というわけではなく、これはベンダが API を使用する際に最も懸念される点です。API は、組み込んだプラットフォームをサイバー攻撃に対して脆弱にする可能性があります。また API は、その設計や垂直・水平方向のスケーラビリティによってプラットフォームの性能を左右する可能性があります。したがって、API に何らかのスケーラビリティの問題がある場合、プラットフォーム全体の性能に影響を与えることになります。
6. 高度な統合と新たな要件への適応のための実装アクセス権の欠如
効率的なクロスドメイン統合型セキュリティと、新しいクロスドメイン攻撃手法の検出機能は、セキュリティ制御の統合がネイティブで、同じデータ構造を持ち、制御するソースコードにアクセスできる単一のベンダによって実行されている場合にのみ実現します。単一のセキュリティプラットフォームで統一することで、他の方法では不可能なユースケースを構築することが可能になるのです。これについては、ウォッチガードの「Better Together」セキュリティアプローチのユースケース(英文)をご覧ください。
WatchGuard Unified Security Platform のアーキテクチャと利点の詳細については、Unified Security Platform アプローチの Web ページをご覧ください。