- 2022/08/30
- セキュリティ
セキュリティ運用のカギを握る統合アプローチとは
Post by : Anthony M. Freed
滞留時間は、最近のデータ侵害がもたらす全体的なコストに大きく関係しています。たとえば、『Cost of a Data Breach Study 2021(データ侵害にかかるコストの調査、2021年度版) 』では、データ侵害にかかる平均コストは386万ドルから424万ドルへと上昇しており、同レポート史上最高額となったことが明らかにされています。
ただし、データ侵害の検知と封じ込めに200日以上かかった組織の場合、このコストは平均487万ドルまで増加しました。これに対して、200日未満でデータ侵害を検知した組織の場合は361万ドルでした。
統合セキュリティアプローチを構成する要素とは
上記のコストは、企業がデータ侵害対策を強化することの必要性を浮き彫りにしています。その方法の1つとして、自社のセキュリティ対策に統合セキュリティアプローチ(ISA)を導入することが挙げられます。しかし、それを実現するためには、統合セキュリティアプローチを構成する要素をすべて確実に満たす必要があります。
Georgetown Journal of International Affairsの定義によれば、ISAの目的とは、「すべての受信情報を融合し、この融合から得られるインサイトが脅威の阻止に役立つものとなるような速さで、相関関係を作成すること」です。
この対策には、潜在的な攻撃の兆候を検知するための早期警戒システムを構築すること、および脅威の実体化を阻止するための予防的構成要素を確立することが必要となります。また、インシデントを迅速に検知し、その潜在的な影響範囲を決定するだけでなく、タイムリーに緩和策を講じるようなメカニズムも必要です。
しかし、すべての検知・対応戦略がISAの作成に役立つわけではありません。例として、セキュリティ情報およびイベント管理(SIEM)を取り上げてみましょう。確かに、セキュリティチームはSIEMを使用することで環境全体の脅威アラートを一元化できます。しかし、ほとんどのSIEMツールは、これらの警告のコンテキスト化は行いません。
そのため、情報セキュリティ担当者は、コンテキスト化されておらず相互関連付けも行われていないアラートや誤検知を大量に受け取ることになり、その結果、「アラート疲れ」を引き起こすことになります。そして、各アラートを手動でトリアージして調査することを通じて、環境で何が起こっているのかを把握できるかどうかは、チームメンバーに任されています。たとえ彼らが問題を完全に特定できたとしても、SIEMツールは問題に対応する段階では役に立ちません。
SIEM以外の従来型の検知・対応戦略にも、それぞれ欠点があります。たとえば、SOAR(Security Orchestration, Automation, and Response)ツールは、SIEMと同様に、適切なコンテキストを欠いた相互に関連付けられていないアラートにより、チームを過負荷状態にする傾向があります。
さらに、もう1つの欠点として、SOARプラットフォームは、その統合方法や、それがインジェストするデータソースが異なっていることが挙げられます。その結果、チームはSOARツールを活用することでは、セキュリティインシデントへの必要な対応を全面的に行えない可能性があります。
AI駆動型XDRソリューションの登場
攻撃者の滞留時間を大幅に短縮する効果的なISAを構築するために、SIEMおよびその他の従来型ソリューションを越える何かを必要としています。ここで、人工知能(AI)および機械学習(ML)テクノロジーを活用するXDR(Extended Detection and Response)ソリューションの出番となります。このようなXDRソリューションは、検知と修復の自動化を実現するものであり、エンドポイント、クラウドワークロード、アプリケーション、ユーザーID、およびその他のさまざまな資産から収集したテレメトリを互いに関連付けることで、攻撃を検知します。
XDRは、キルチェーン全体にわたる包括的な可視性をセキュリティチームに提供します。これにより、セキュリティアナリストやインシデント対応チームは、大量の個別アラートを手動でトリアージして調査する必要がなくなります。XDRを導入すると、セキュリティチームは、キルチェーンの初期段階で攻撃を検知することで、滞留時間を短縮し、攻撃シーケンスの早い段階で攻撃を阻止できるようになります。
AI駆動型XDRソリューションにより、企業や組織は、セキュリティに対するオペレーション中心のアプローチを採用できるようになります。これにより、すべてのネットワーク資産におけるセキュリティ体制に自信を持つために必要な可視性を提供できるようになるほか、攻撃の進行を初期段階で阻止するために必要となる自動対応を実現できるようになります。XDRは、次に示す3つの方法で、企業や組織の持つセキュリティスタックを最適化します。
- セキュリティスタック全体における統合を最大限に達成:XDRを使うと、セキュリティスタック全体に取り込まれたテレメトリから、実用的でコンテキストリッチなインテリジェンスを生成することを自動化できるため、アナリストが発行されたすべてのアラートをトリアージする必要はなくなり、時間と労力を削減できます。電子メール、生産性ツール、アイデンティティおよびアクセス管理、およびクラウド環境とのネイティブな統合を通じて、アナリストは侵害の初期兆候を迅速に把握し、悪意あるオペレーションを迅速に停止できます。これがXDRにおける“X”のパワーです。
- 悪意あるオペレーション全体を検知:XDRの持つ相互関連付けのパワーを利用すると、セキュリティチームは、影響を受けるすべてのデバイス、システム、およびユーザーに関して、MalOpTTM(悪意ある操作)全体を根本原因から明らかにすることで、オペレーション中心の検知アプローチを採用できます。XDRを使用すると、アナリストは、進行中の攻撃を終了させることに集中できるようになります。アナリストは、攻撃者のアクションや活動を手動でまとめるのに貴重な時間を費やす必要がなくなるほか、さまざまなセキュリティツール(それぞれ、攻撃全体の1つの切り離された側面を明らかにするためだけに設計されたもの)により生成される、整理されておらず相互に関連付けられていない大量のアラートを分類する必要もなくなります。これがXDRにおける“D”のパワーです。
- 予測的な自動対応の実現:オペレーション中心のアプローチにより、攻撃者の振る舞いの意図と、それらが組織のネットワークのさまざまな要素にどのように関連しているかを完全に理解することで、アナリストは、攻撃者の次の動きを予測できるようになるほか、セキュリティポリシーに応じて自動化されたまたはガイド付きの修正を行うことで、攻撃の進行を先制的にブロックできるようになります。攻撃者の滞留時間を数ヶ月から数分に短縮できるのは、オペレーション中心のアプローチだけです。これがXDRにおける“R”のパワーです。
- プロアクティブな脅威ハンティング:XDRを使うと、プロアクティブな脅威ハンティングを行えるようになります。これは非常に重要なアクティビティであり、これにより企業や組織は、疑わしい振る舞いの連鎖を検索することで、攻撃を早期に表面化させ、それらのオペレーションが引き起こす可能性のある損害を最小限に抑えることができます。XDRを使用すると、セキュリティチームは、複雑なクエリを作成しなくても、イベント間でのピボットや脅威の探索が行えるようになります。また、セキュリティチームは、成功したハンティングから学んだ教訓を、オペレーション中心のアプローチに基づいて、さらなる脅威ハンティングのためのカスタム検知ルールとロジックに取り入れることができます。これが、XDRの持つ3つの側面のすべてを1つのソリューションに統合することのパワーです。
さらに、AI駆動型のXDRソリューションを使うことで、防御者は、企業全体(エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースを含む)におけるサイバー攻撃を予測および検知した上で、それに対応できるようになります。
2022年下半期セキュリティ予測 〜4つの脅威から紐解く、 2022年上半期の振り返りと下半期のサイバーセキュリティの展望〜
サイバーリーズンは大きな影響を及ぼす4つの脅威を2022年下半期のサイバーセキュリティ予測として取り上げました。
4つの脅威についてそれぞれ2022年上半期の動向を振り返りながら、2022年下半期のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/8823/