- 2024/10/10
- SDR
静かなる流行病:アラート疲れの危険性とその克服法を探る
Post by : Cybereason Team
今日のデジタル時代において、サイバー攻撃は個人と組織の両者にとって常にある共通の脅威となっています。フィッシング詐欺からマルウェア攻撃に至るまで、サイバー犯罪者は、脆弱性を悪用して機密情報を盗む新しい方法を常に見つけています。ランサムウェアはますます蔓延しており、大規模な組織、政府機関、医療システムを標的にした攻撃が注目を浴びています。ランサムウェア攻撃は壊滅的なものとなる可能性があり、金銭的損失、評判の低下、さらには機密データの漏洩が引き起こされる場合があります。
それとは別に、セキュリティ侵害に関連するもう1つの深刻な危険性が存在しています。それは「アラート疲れ」です。企業が侵害を防ぐためにセキュリティ対策を強化すると、セキュリティチームは、大量のアラートや通知を絶えず受け取ることになります。残念なことに、このような絶え間ないアラートは、セキュリティを危険にさらす可能性があります。通知が膨大な量になると、どれが重要であるかを見極めることが難しくなります。その結果、サイバー攻撃の可能性を示す重要な警告や指標に気付かないか、またはそれらを無視することが多くなるため、脆弱性を放置することになってしまいます。
この記事では、サイバー攻撃やセキュリティ侵害の文脈において「アラート疲れ」がもたらすリスクについて詳しく説明した上で、Cybereason Defense Platformがそのようなリスクを軽減するのにいかに役立つかを紹介します。
アラート疲れの危険性
アラート疲れは、セキュリティチームに大きな影響を与える差し迫った問題です。絶え間のないアラートや通知を大量に受け取ると、セキュリティチームはその膨大な量に圧倒されてしまい、結果として潜在的な脅威を示す重要な警告や指標を見落としてしまうことになるからです。
当社が行った最新の調査によれば、SOCの専門家の16%が、毎週自社のアラートパイプラインの50~59%しか処理していないことを認めています。このようなアラート処理状況を放置すると、非常に危険な事態を招く可能性があります。特にサイバー攻撃に直面した場合、重要な警告や指標を見落とすかまたは無視すると、攻撃への対応が遅れ、ランサムウェア攻撃が成功する可能性を高めることになるからです。
さらに、アラート疲れは、セキュリティオペレーションセンター(SOC)チームにとって厄介な問題となるだけでなく、企業のセキュリティにとって重大な脅威をもたらします。アナリストは毎日数千件ものアラートを受け取り、それぞれが徹底的な調査と相互関連付けを必要とするため、誤検知に巻き込まれることや、データ侵害の重大な兆候を見逃すことが多くなります。
実際、SOCチームは、調査に値するエンドポイントセキュリティアラートを1週間に平均500件も受け取っており、それらの調査にかかる時間は、チームの労働時間全体の65%を占めています。さらに悪いことに、多くのセキュリティチームは人員不足でリソースが不足しているため、手動によるプロセスは、チームのフラストレーションと負担を高めるだけのものとなっています。
結果、SOCチームメンバーのウェルビーイングに影響するだけでなく、最終的には企業全体のセキュリティに影響を及ぼします。この問題により引き起こされる絶え間のないストレスと燃え尽き症候群は、スタッフの高い離職率を引き起こす可能性があります。しかし、さらに重要なのは、セキュリティ上の成果が損なわれる可能性があることです。この問題にきちんと対処した上で、アラート疲れと効果的に闘い、かつサイバー攻撃から身を守るために必要となるサポートやリソースを自社のセキュリティチームに提供する必要があります。
アラート疲れのリスクを軽減する
アラート疲れと効果的に闘うには、サイバーセキュリティに対するプロアクティブな取り組みが必要となります。これには、ファイアウォール、侵入検知システム、定期的なデータのバックアップなど、強固なセキュリティ対策の実施が含まれます。セキュリティ対策を継続的に監視し適応させることで、真の脅威と偽の警報を区別できるようになります。また、セキュリティ関連の自動化ツールや人工知能ツールに投資することで、アラートのフィルタリングや優先順位付けを行い、セキュリティチームの作業負荷を軽減できるようになります。
Cybereason Defense Platformは、サイバー脅威に対する強固な防御を提供する包括的なソリューションです。同プラットフォームはAIを搭載しており、1つのエージェント、1つのコンソール、1つのチームで、すべてのエンドポイントを防御し、あらゆる悪意ある操作を阻止します。
Cybereason SDRプラットフォームは、サイバー防御に対する当社のアプローチにおける大きな進化となるものです。Cybereason SDRプラットフォームは、エンドポイント保護、検知、対応、SIEM、可観測性、およびその他のサイバーセキュリティツールを統合されたサービスポータル、セキュリティデータレイク、およびAIを搭載したプラットフォームへと統合します。これにより、抱えるデジタルフットプリントとネットワーク全体を通じて、ニアリアルタイムの自律的なセキュリティを実現できるようになります。
※「Cybereason SDR」の日本市場における販売開始は2024年末を予定しております。
最先端のCybereason SDR(SIEM Detection and Response)は、高度なAIと機械学習を活用することで、アラートの相互関連付けと優先順位付けを行います。Cybereason SDRは複数のソースから取得したデータを分析することで、重要なアラートを特定して強調表示し、アナリストが確認すべき通知の件数を減らします。これにより、時間を節約できるとともに、リソースの燃え尽きを防ぎ、アラート疲れと効果的に闘えるようになります。
サイバーリーズンが採用しているオペレーション中心のアプローチは、攻撃のストーリー全体を始めから終わりまで整理した上で、それを1つの画面上に表示します。これには、影響を受けたすべてのユーザーとデバイスに関する包括的な概要が含まれます。サイバーリーズンの持つ比類のないデータ関係の把握能力により、各検知にはMalOp™を通じた完全なコンテキストが付加されます。さらに、これには、アラートの相互関連付け、攻撃ソースの特定、詳細な攻撃タイムラインの表示、アナリストの生産性を高めるための自動化などの機能も含まれます。
認識と教育の役割
アラート疲れとサイバー攻撃との闘いにおいて、認識と教育は重要な要素となります。個人と組織の両者が、アラート疲れの危険性とその潜在的影響を十分に理解することが極めて重要となります。アラートを効果的に管理しアラートに優先順位を付ける方法に関して従業員を教育することで、被害に遭うリスクを大幅に減らすことが可能となります。また、最新のサイバー脅威を常に把握し、潜在的な攻撃を特定しそれに対応する方法について従業員を定期的に訓練することも、強固なサイバーセキュリティを維持する上での不可欠なステップとなります。
従業員向けの定期的なトレーニングや意識向上プログラムを実施することで、不審な活動を検知し報告するための知識を身に付けさせ、ランサムウェア攻撃の防御に大きく貢献させることが可能となります。さらに、明確に定義されたインシデント対応計画を策定することは、あらゆるサイバー攻撃に効果的に対処し、かつその影響を最小限に抑える上で極めて重要となります。
アラート疲れとの闘いにおけるテクノロジーの役割
皮肉なことに、多くの場合、テクノロジーはアラート疲れの根本原因となるものですが、その一方で、テクノロジーはアラート疲れと闘うためのソリューションにもなりえます。人工知能と機械学習の進歩のおかげで、システムは今や、ユーザーのプリファレンスやパターンを学習することにより、不要なアラートをフィルタリングできるようになりました。その結果、ユーザーは重要なアラートだけに集中できるようになりました。さらに、テクノロジーを通じてタスクやプロセスを自動化すると、瑣末な手作業から解放され、重要なアラートの優先順位付けにより多くの時間をかけることが可能となります。
セキュリティの専門家であれば、誰もがサイバー脅威の一歩先を行くことの重要性を理解しているはずです。しかし、攻撃の高度化と頻度の増加により、セキュリティチームが攻撃に後れずについて行くことさえ非常に難しくなっています。ここでCybereason MalOp™の出番となります。
Cybereason MalOp™(Malicious Operation Detectionの略)は、サイバーリーズンが採用しているオペレーション中心のサイバーセキュリティにおける最新のイノベーションです。当社のプラットフォームは、AIを活用したアナリティクスを利用することで、影響を受けたすべてのデバイスのトリアージと調査プロセスを自動化し、攻撃に関する包括的なエンドツーエンドのビューを提供します。
当社は、アラート疲れはセキュリティチームにとって共通の課題であると認識しています。実際、大企業は1日に数万件ものアラートに直面しているからです。これらのアラートは個別に報告されることが多く、関連する悪意ある活動との結び付きを持たないため、アナリストが情報の断片をつないで攻撃のストーリー全体を把握することは困難です。このようなバラバラで混沌としたアプローチを放置したままだと、脅威を見逃し、攻撃への対応時間を遅らせる結果となりかねません。
MalOp™ は、従来のアラートに代わる選択肢を提供します。MalOp™ は、攻撃のストーリー全体に関するコンテキスト化されたビューを、1つの画面上に表示します。これは、セキュリティアナリストが、アラート中心の事後的(リアクティブ)なアプローチから、オペレーション中心のプロアクティブな(先を見越した)アプローチに移行できることを意味します。これにより、時間とリソースを節約できるだけでなく、脅威に対するより効果的な対応が行えるようになります。
MalOp™を使うことで、アラート過多に別れを告げ、合理的で効率的なセキュリティアプローチへと乗り換えることが可能となります。サイバーリーズンのプラットフォームを利用することで、セキュリティチームは、脅威の一歩先を行き、悪意ある操作から組織を守ることができるようになります。
結論として、ランサムウェア攻撃やその他のセキュリティ侵害の持つ隠れた危険性は、金銭的に、かつ風評被害を通じて大きな脅威を与え続けていますが、その一方で、アラート疲れに関連するリスクも無視できません。ランサムウェアの影響、攻撃の増加、アラート疲れの危険性を理解することで、この静かな伝染病を克服するためのプロアクティブな(先手を打った)対策を講じることが可能となります。これには、強力なセキュリティ対策の実施、アラートの優先順位付けとフィルタリング、自動化ツールへの投資によるテクノロジーの活用、包括的なインシデント対応計画の策定などが含まれます。サイバー攻撃から身を守るために、サイバーセキュリティへのアプローチにおいて警戒を怠らず、かつプロアクティブであり続けると同時に、アラート疲れにも適切に対処することが必要となります。
サイバーリーズンのテクノロジーを導入することで、お客様はサイバー攻撃者の一歩先を行くと同時に、アラート疲れと効果的に闘うことが可能となります。サイバーリーズンのテクノロジーがどのように動作するかをご自分の目で確かめたい方は、当社までお問い合わせください。
【グローバル調査結果】2023年版 ランサムウェアと最新のSOC〜ランサムウェアがSOCを最新化するために与えた影響〜
セキュリティオペレーションセンター(SOC)は、その規模や成熟度にかかわらず、人材不足、可視性や自動化の欠如、ツールの増加、アラート過多などが原因で、常に窮地に立たされています。攻撃者の一歩先を行くこと、セキュリティ投資に対するリターンを示すこと、そしてスタッフを燃え尽きるほど酷使しないようにすること、このような課題に常に取り組んでいる現状は、多くのSOCにとって耐え難いものです。
サイバーリーズンの新しい調査では、世界8ヶ国、12業種における1,203人のサイバーセキュリティ担当者を対象として、SOCが現在直面している課題は何か、そしてそれらの課題がSOCの最新化にいかなる影響を与えているかについてアンケートを実施しました。
本レポートでは、調査結果を元に、ランサムウェアとSOCの最新化やサイバーセキュリティ担当者が直面している4つの必要性について紹介します。
https://www.cybereason.co.jp/product-documents/survey-report/10369/
