ランサムウェアは、今やまさに野放し状態です。ランサムウェア攻撃は平均で11秒ごとに発生しており、被害を受けた組織の3つに1つは、35万ドルから140万ドルもの大金を何者かに支払うことを余儀なくされています。RaaSの出現やRansomOpsの台頭に見られるように、ランサムウェアがよりアクセスしやすくなり、かつより高度なものになるにつれ、セキュリティ要件もそれに伴って進歩する必要があります。

しかしこれは、先進的な脅威に後れずについて行こうとするだけで、ツールの無秩序な増殖、シェルフウェアの増大、そして複雑すぎるセキュリティスタックなどの問題に直面する可能性があることも意味します。少ないリソースでより多くのことを可能にするような、無駄のない統合されたセキュリティ運用を実現するには、XDR(Extended Protection and Response)の利用をお勧めします。この記事では、XDRを利用することで、いかに全体的な有効性と効率性を向上できるか、そして最終的に運用の総コストをどれほど削減できるようになるかをご紹介します。

セキュリティ運用コストの内訳

2022年米国におけるエントリレベルのサイバーセキュリティアナリストが受け取る平均給与は約8万ドルから12万5千ドルであり、これは1ヶ月あたり約1万ドルに相当します。これには、雇用主が通常負担する手当やその他の費用は含まれていません。

次にテクノロジーですが、これは企業や組織が必要とするソリューションにより大きく異なる可能性があり、ソリューションへの投資から最大の利益を得ているかどうかは考慮されていません。たとえば、CSO Onlineのある調査によると、セキュリティ担当リーダーの50%が、組織が持つセキュリティ関連のテクノロジーに含まれているすべての機能を使用しているわけではないと回答しています。

さらに、十分注意しないならば、他のツールとうまく統合できないツールをはじめ、ベンダーロックインがかかっているためにセキュリティプログラムを通じたスケーリングが行えないようなソリューション、さらには機能が重複している製品などを購入してしまうことになりかねません。

さらに、こうした個別のソリューションから得られるすべてのデータを効率的に集約した上で、データを実用化することも課題となっています。相互関連付けされていないSIEMアラートは確かに有用ではありますが、SIEMベンダーによる主張とは裏腹に、SIEMは企業全体で何が起きているかという「セキュリティに関する全体像」を提供するものではありません。

ソリューションスタックにおける非効率性は、ツールの無秩序な増殖や、シェルフウェアの増大を引き起こすほか、それが原因で、IT部門は、次年度のセキュリティ予算を維持または拡大するにあたって、経営幹部層からの信頼を失う可能性があります。

もしも、あなたが組織にとって役立つ最新のツールを確実に手に入れたいのであれば、それを導入するためにかかるコスト、追加機能に対応するためにセキュリティ運用と戦略の見直しにかかるコスト、導入に必要なダウンタイム、さらには導入後にかかるその他のコストを、明確な数字で示さなければなりません。

また、このようなコストに加えて、現在のセキュリティチームのスキルアップやソリューションをサポートするための増員にかかるコストもあります(特に、継続的なサイバー人材不足という課題を考えると、増員にかかるコストは厳しくなる可能性があります)。

これらのコストを考慮した上で、さらに、役割、給与、職位とそれに伴う詳細なスケジュール、福利厚生、チームの団結などを見直す必要があります。これらのすべてに関して、お金と時間が同じくらい多くかかります。

また、急速に進化する脅威状況に対応するために、ソリューションもかつてないほどの速さで進化しています。このため、現在使用しているセキュリティスタックは、新しいテクノロジーと統合できない可能性があります。統合を実現にするには、それらを統合できるようなソリューションが必要となります。

なお、上述したすべての事項は、セキュリティ運用にかかるコストのごく簡単な内訳に過ぎません。

XDRはセキュリティ運用にかかるコストを引き下げる

オープンアーキテクチャのXDRソリューションは、オンプレミスまたはクラウド上にある既存のツールスタックとの連携が可能であり(多くの企業が今もなお移行中であり、今後数年間は移行を続けると見られています)、かつ特定のベンダーに依存しないため、同ソリューションを使うことで、ツールスタックを最大限に活用できるようになります。

さらに、同ソリューションは、既存のテクノロジー全体を通じてテレメトリを集約できるため、過去に行った投資を活用し、それらのテレメトリをすべてまとめることにより、 エンドポイントからクラウドに至るまで、自社のセキュリティに関する完全なストーリーを伝えることが可能となります。
XDRには次のメリットがあります。

  • セキュリティチームの戦力を増強:XDRは、セキュリティチームの戦力増強に貢献します。XDRは、セキュリティスタック全体から無限に流れてくるアラートのトリアージ、調査、相互関連付けからなる終わりのないサイクルからアナリストを解放します。XDRは、相互関連付けられた攻撃の全体像を提供するほか、自動化されたまたはワンクリック式のガイド付きの対応オプションを提供します。
  • ツールの無秩序な増殖とシェルフウェア化を回避CSO Onlineが行ったパブリッククラウドのみに関する調査によれば、「パブリッククラウドを使用している組織の3分の1だけが、完全な統合と中央管理を備えた統合ソリューションを有している」との結果が出ています。XDRは、オンプレミス、クラウド、およびハイブリッドの各環境で動作するため、複数のプラットフォーム間でテレメトリを集約し、可視性を向上できます。これは、関連するすべてのテレメトリをバラバラなアラートの洪水ではなく、1つの検知へと統合することで可能となります。
  • サポートコストを削減:AI駆動型のXDRソリューションは、誤検知を排除し、アラートを1つの検知に統合することで、SOCにおける有効性と効率性を高めます。これはSIEMソリューションとは対照的であり、SIEMソリューションは多くの手当を必要とするため、防御者は結局、脅威の軽減という本来の仕事を遂行することよりも、SIEM環境の管理とチューニングに多くの時間を費やすことになります。
  • ストレージとアナリティクス:AI駆動型のXDRソリューションは、効率性の向上をもたらすほか、ログ/テレメトリに関して懸念されている、クラウド処理コストおよびストレージコストの低減も実現します。同ソリューションを使うと、ストレージとアナリティクスにかかるコストを削減しつつ、直感的で拡張可能な脅威ハンティングよりアナリストをスキルアップすることが可能となります。
  • エンドポイントを越えた保護を提供:オープン型のXDRソリューションは、主要なITおよびセキュリティソリューションとの統合を通じて、包括的なネットワークカバレッジを提供します。これは、エンドポイントから収集したテレメトリを、ID管理、アプリケーションスイート、ワークスペース、クラウドなどから収集したインテリジェンスと相互に関連付けるものであり、これにより、統合的な予防・検知・対応がもたらすメリットを最大限に活用できるようになります。

AI駆動型のXDRソリューションは、セキュリティスタックおよびITスタック全体を通じてテレメトリ分析を統合することで、企業全体の検知および対応能力を拡張します。これにより、有効性の最適化や大規模環境での運用効率の向上が可能となるほか、エンドポイント、ID管理、ワークスペース、アプリケーションスイート、クラウドなどから収集したテレメトリデータ間でディープなコンテキストに基づく相互関連付けを生成することで、検知の盲点をなくし、セキュリティ運用にかかる総コストを削減できます。

サイバーリーズン製品の特長とは

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

高まる経済安全保障リスクから考えるサイバーセキュリティ戦略

2022年2月に始まったロシアのウクライナ侵攻では、サイバー空間でも激しい攻防が行われています。
さらに、経済安全保障の観点から技術流出に対する懸念が世界中で高まっています。

そこで、本ホワイトペーパーでは、経済安全保障とサイバー攻撃の現状と、セキュリティ対策のポイントを解説します。
https://www.cybereason.co.jp/product-documents/white-paper/9052/