- 2018/05/22
- EDR
人材不足・スキル不足でも最新のエンドポイント・セキュリティEDRを使いこなせる方法
Post by : Yukimi Sohta
深刻化する一方の「セキュリティ人材不足」
「IT人材不足」が叫ばれるようになって既に久しいですが、中でもセキュリティ人材の不足はかなり深刻化しています。2016年6月に経済産業省が発表した「IT人材の最新動向と将来推計に関する調査結果 ~報告書概要版~」では、2020年に約19.3万人のセキュリティ人材が不足すると試算しています。
こうしたデータを見るまでもなく、ITやセキュリティの仕事に携わっている方なら、人材不足の深刻さは肌で感じているのではないでしょうか。特にここ数年、かつてセキュリティ対策の主流であったファイアウォールやサンドボックス、Webフィルタリングといった「入口対策」をすり抜ける攻撃が激増しており、もはや「製品まかせ」の対策は通用しなくなってきています。
こうした状況を受け、入口対策をすり抜けて内部に侵入してきたマルウェアの活動を早期に検知するための「EDR(Endpoint Detection and Response)」が注目を集めています。サイバーリーズンが提供する「Cybereason EDR」もその1つですが、PCやサーバなどのエンドポイント上で攻撃や不正が疑われる挙動が見られないか、AI技術を使ってリアルタイムに監視するというものです。
Cybereason EDRのような製品は確かに、今そこにある脅威の存在やその予兆を効果的に検知してくれますが、使いこなすにはある程度の手間を掛ける必要があります。具体的には、製品から上がってくるアラート通知を受け取り、そのアラートが本当に脅威につながるものなのかどうか、もしそうなら具体的にどのような対策を取るべきなのか、いちいち判断しなくてはなりません。
もし、今まさに自社の重要な情報資産が盗まれる寸前まで攻撃が進行しているのであれば、一刻の猶予もありません。今すぐ対応を取る必要があります。しかし例えば、疑わしいソフトウェアや挙動が検知されたものの、まだ活動の初期段階にあり、差し迫った脅威が迫っているのでなければ、翌日の対応でも問題ない場合もあります。
こうした判断を適切に行うには、導入したセキュリティ製品や、セキュリティ技術一般に関する一定レベル以上のノウハウやスキルが必要です。また、作業のための十分な時間を確保するためには、専任のスタッフを自社内に抱えておくのがベストといえます。しかし実際には、セキュリティ対策専門の部署やスタッフを社内で確保できる企業は、ごく一部に過ぎません。多くの企業ではシステム管理者や、各部署のITに詳しい従業員が、セキュリティ対策要員を兼務しているのが実情ではないでしょうか。
このようなセキュリティ運用に対する要員が不足した状況下では、せっかくEDR製品を導入しても、その効果を十分に引き出すのは難しいでしょう。かといって、これだけセキュリティ人材の不足が深刻化している昨今、外部から人材を確保することも容易ではありません。
EDR製品のメーカー自ら監視サービスを提供
そこで役立つのが、セキュリティ対策の一部、より具体的に言えば監視作業を、外部の企業に委託するという方法です。現在、多くのセキュリティ企業やITベンダーが、クライアント企業の社内ネットワークに設置されたセキュリティ製品やネットワーク機器のアラートやログを監視する「SOC(Security Operation Center」)の業務を代行するサービスを提供しています。
サイバーリーズンでも、お客様の社内ネットワークで稼働しているサイバーリーズン製品から上がってくるアラートを解析し、脅威に関する分析や通報、レポーティングを行う「Managed Security Service(MSS)」のサービスを提供しています。一見すると、他社が提供しているSOC代行サービスと大差ないようにも見えますが、決定的な違いは「セキュリティ製品の開発元が自らサービスを提供している」という点にあります。
セキュリティ企業やITベンダーが提供するSOC代行サービスは、ソフトウェアベンダーが開発した製品から上がってくる情報を解析しますが、サイバーリーズンのMSSでは自社で開発した製品から上がってくる情報を解析します。当然のことながら、製品の内部仕様に通じている分、より正確かつきめ細かな解析が可能になります。また、世界中のサイバーリーズン製品ユーザーから上がってきた膨大なインシデント情報のナレッジの蓄積がありますから、豊富な技術ノウハウを基に的確な判断を下すことができます。
しかも、日本国内のサイバーリーズン製品ユーザーに対しては、日本に設置されたMSS専任組織で解析や対応を行うため、お客様とスムーズに、かつ日本語でコミュニケーションを取ることができます。ちなみに、マルウェアの内部を詳しく解析し、脅威をより正確・迅速に把握するには、マルウェアの内部に埋め込まれたさまざまな国の言語を読み取る能力が鍵を握ると言われています。その点、日本のMSSチームには世界各国から集まった腕利きのアナリストが所属しており、現在では13の言語に対応しています。この点も、他社のサービスにはないユニークな点だといえます。
そもそも、エンドポイントセキュリティ製品のメーカーが自らMSSのようなサービスを提供しているのは、日本国内では珍しい例です。事実、このユニークなサービスはお客さまにも大変高く評価いただいており、サイバーリーズン製品を導入した企業のほとんどがMSSをセットで契約しています。IT人材不足・セキュリティ人材不足が年々深刻化する日本においては、今後ますます需要が高まることでしょう。
「EDRに興味はあるけど、人手不足やスキル不足で運用が不安」。そんな方は、ぜひMSSの利用を検討してみてはいかがでしょうか。
「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中
CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/
