今年の初めに、私たちはランサムウェアの防御と復旧にかかるコストについて考察しました。この記事は、デジタルセキュリティに対する積極的かつプロアクティブなアプローチと、事後対応型のアプローチの違いに関するより重要な議論につながるものです。では、早速始めましょう。

事後対応型のセキュリティ:その長所と短所

事後対応型のセキュリティにも長所がないわけではありません。このアプローチを利用することで、チームはセキュリティインシデントの兆候を検知するための対策を講じることができます。そして、その証拠に基づいて行動することで、インシデントの範囲を縮小し、データ漏洩に拡大するのを阻止できます。

Infosec Instituteにより特定された、チームが組織において事後対応型のセキュリティ戦略を構築するために必要な方法としては、次のものが挙げられます。

  • セキュリティ監視ツール:ネットワークトラフィックを監視し、攻撃の兆候を示すような異常がないかどうかを確認するのに役立ちます。
  • デジタルフォレンジックソリューション:特定の攻撃で採用された戦術、手法、手順(TTP)をチームが理解するのに役立ちます。このような知識があれば、セキュリティチームと経営幹部層が協力することで、将来のために変更を実施できます。
  • スパム対策やマルウェア対策:既知のマルウェアサンプルのシグネチャの検知には役立ちますが、ファイルレスマルウェアやその他の検知回避型の脅威を防御することは困難です。
  • ファイアウォール:ネットワークへの侵入者をフィルタリングするのには役立ちますが、その設定によっては、組織がデジタル攻撃に対して脆弱なままになってしまう可能性があります。

これらの対策を用いることで、セキュリティチームは、プロアクティブな保護では多大な投資を必要とするような攻撃にも対応できます。しかし、これはセキュリティインシデントがデータ漏洩へとエスカレートする前に、このような対策でインシデントを検知できることを暗に意味しています。しかし現実には、必ずしもこれが当てはまるとは限りません。

これが当てはまらない場合、企業や組織は多額の復旧コストを余儀なくされる可能性があります。最新のCost of a Data Breach Reportによると、2021年において、平均的なデータ漏洩のコストは424万ドルでした。これらの損害は、デジタル攻撃者が被害者のネットワーク内でより長い時間を過ごすほど大きくなります。

実際、同報告書によると、企業がデータ漏洩を特定し、それを封じ込めるまでに平均で287日かかっています。潜伏期間がこの長さである場合、情報漏洩にかかった平均コストは487万ドルに達しました。これに対して、200日未満で検知され封じ込められた場合、平均コストは361万ドルでした。

セキュリティ実現のための足掛かり

上記のようなリスクを認識するならば、企業や組織は、事後対応型のセキュリティを自らのセキュリティ実装プロセスにおける終着点として扱うべきではありません。むしろ、企業や組織は、事後対応型のセキュリティを、プロアクティブなセキュリティを達成するための「足掛かり」として考えるべきです。プロアクティブなアプローチは、脅威の検知と対応に重点を置くという点で、事後対応型のセキュリティに比べて、より全体的な性質を持ちます。

この目的のためには、事後対応的なセキュリティ対策を強化した上で、機械学習などのテクノロジーを導入して、将来、組織を標的とする可能性のある脅威から守ることが必要となります。しかし、このようなアプローチは、チームが環境に関する包括的な可視性を持たない場合、上手くいきません。

とは言え、プロアクティブなセキュリティ対策が、すべて同じように作られているわけではありません。セキュリティ情報およびイベント管理(SIEM)ツールは、セキュリティイベントを一元管理するためにデータレイクやクラウド分析を必要とするため、高価でありかつ大きなばらつきがあるという事実を考えてみてください。しかも、多くのSIEMは誤検知やアラートを大量に発生させるため、情報セキュリティ担当者の間で「アラート疲れ」という現象を生み出す原因となっています。

SOAR(Security Orchestration, Automation, and Response)ソリューションは、SIEMと同じような問題に悩まされています。さらに、組織のセキュリティスタック全体に配備されている他のセキュリティツールと連携するための統合を見つけることが、さらなる複雑さをもたらしています。EDR(Endpoint Detection and Response)は、エンドポイントレベルで攻撃を効果的に検知するのに役立ちますが、エンドポイントに限定されない攻撃が起きた際は、検知することが困難な場合もあります。

SIEM、SOARソリューション、そしてEDRプラットフォームが持つ短所を踏まえると、セキュリティチームは、これらの時代遅れの方法論を越えたものを必要としています。それが、XDR(Extended Detection and Response)です。このセキュリティ手法は、複雑な攻撃をより早期に阻止するために必要となる、ITエコシステム全体にわたるコンテキストリッチな相関関係を提供することにより、SecOpsチームが組織のセキュリティ対策の主導権を握ることを可能にします。

AI駆動型のXDRが持つ強み

AI駆動型のXDRソリューションを使うと、SecOpsチームは、オペレーション中心のセキュリティアプローチを採用することで、組織がすべてのネットワーク資産におけるセキュリティ体制を確立するために必要となる可視性と、攻撃の進行を初期段階で阻止するような自動応答を実現できます。

また、AI駆動型のXDRソリューションを使うと、防御者は、企業全体のあらゆる場所(エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースなど)で発生するサイバー攻撃を予測および検知した上で、それらに対応できるようになります。

さらにサイバーリーズンではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。

2022年セキュリティ予測 〜4つの脅威から紐解く、2022年のサイバーセキュリティの展望〜

サイバーリーズンでは、2022年は2021年に見られた脅威傾向が継続していくと予測しており、その中でも特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。

2021年の4つの脅威を振り返りながら、2022年のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/7439/