- 2022/06/08
- XDR
セキュリティ予算は増加しているが、攻撃件数もさらに増加している
Post by : Anthony M. Freed
ほとんどの組織が2022年に向けてサイバーセキュリティ関連の予算を増やす予定です。Dark Readingで紹介された2021年の調査によれば、81%の組織が、来年にかけてサイバーセキュリティ関連の予算を増やすことを確約しています。
このアンケートの回答者の約4分の1は、予算配分を最大で50%増やす予定だと答えています。一方、40%の回答者が、予算を11%~30%増やすと答えています。
これらの変化について少し考えてみましょう。CSOの報告によれば、Gartner社は、情報セキュリティとリスク管理に関するグローバルな支出は、2022年に1720億ドルに達すると予測しているとのことです。同支出は、2021年には1550億ドルであり、その1年前には1370億ドルでした。
Gartner社では、この総支出の大部分(770億ドル)がセキュリティサービスに流れると予測しています。同社では、次いでインフラ保護に300億ドル、ネットワークセキュリティ機器に190億ドル、アイデンティティとアクセス管理に170億ドルがそれぞれ流れると予測しています。
セキュリティ予算が増えている理由は?
要するに、サイバー攻撃が複雑な形態に進化しているため、企業や組織は、防御を大幅に改善するために何かせざるを得ない状態へと追い込まれているからです。まず、データ侵害のコストが上昇し続けているという事実があります。『Cost of a Data Breach Study 2021(データ侵害にかかるコストの調査、2021年度版) 』によると、データ侵害に関連する平均コストは、2020年の386万ドルから、1年後には424万ドルに増加したことが分かっています。
攻撃が成功した場合にかかるコストは、複数の要因によって異なりますが、その要因の1つとして「滞留時間」が挙げられます。実際、この調査によれば、攻撃者はセキュリティチームにより発見されるまでに、被害者のネットワーク内で通常287日間を費やしていることが判明しています。このような場合、企業や組織は、平均コストである424万ドルより63万ドルも高い487万ドルのコストを被ることになります。一方、データ侵害が200日未満で発見された場合、そのコストは361万ドルになります。
近年、データ侵害に起因するコストが上昇しているだけでなく、一般的にデータ侵害の件数も増加しています。たとえば、2021年10月、 Identity Theft Resource Center(ITRC)は、同年1月1日から9月30日の間に米国の企業や組織が合計1,291件のデータ侵害に遭ったことを公表しました。この9ヶ月間の合計件数は、2020年全体を通じて米国の企業や組織が経験したデータ侵害件数である1,108件を上回っています。
サイバー攻撃の検知と対応を強化
上記の調査結果は、企業や組織がサイバー攻撃の検知とその対応に投資する必要性を浮き彫りにしています。しかし、これは「言うは易し、行うは難し」の典型例です。なぜなら、すべてのソリューションが、意味のある検知および対応機能を企業や組織に提供するわけではないからです。
例として、セキュリティ情報およびイベント管理(SIEM)ソリューションを取り上げてみましょう。SIEMは、脅威に関するアラート情報を一元管理するのに役立つ場合がありますが、そのためにはデータレイク構造やクラウド分析を使用する必要があります。これらのリソースは非常に高価になりがちであり、しかもアクセスするデータソースによってはSIEMの有効性が損なわれる可能性があります。
さらに、SIEMは非常に多くのアラートと誤検知を生成するため、セキュリティチームを悩ませている「アラート疲れ」を悪化させます。また、頻繁な誤検知は、アラート疲れを悪化させるだけでなく、情報セキュリティ専門家の全体的な有効性を低下させる要因にもなります。
セキュリティチームが調査の結果、脅威が存在しないと判断することを何度も繰り返した場合、彼らは今後のアラートにきちんと対応するのが億劫になる可能性があります。そうなった場合、企業や組織がデジタル攻撃に見舞われる可能性が高くなります。
SOAR(Security Orchestration, Automation, and Response)も、その価値が限定的であるツールの1つです。ほとんどのSOARプラットフォームは、SIEMと同じ欠点に悩まされていますが、 さらに考慮すべき欠点がいくつかあります。
第1に、対応機能を実現するためには、SOARプラットフォームを他のセキュリティツールと統合する必要があります。問題は、組織が抱えるセキュリティ要件の性質やセキュリティスタックの構成によっては、SOARが必ずしも必要な統合を可能にするとは限らないということです。
第2に、企業や組織はしばしば、導入時に対応プレイブック用にカスタマイズされた自動ワークフローを構築する必要があります。このプロセスには、時間と費用の面でかなりの先行投資が必要であり、さらにそのようなシステムを構築し保守するには、適切なスキルセットを持つ人材が必要になります。
価値が限定的であるツールのもう1つの例として、EDR(Endpoint Detection and Response)が挙げられます。確かに、EDRは従来のアンチウイルスエンドポイントソリューションからは大きく進化しています。しかし、EDRは依然としてエンドポイントレベルでの継続的な脅威の検知と対応のみを提供するものであり、組織のインフラにおけるエンドポイント以外の場所に、脅威の検知と対応を拡張するものではありません。 ここでXDR(Extended Detection and Response)ソリューションの出番となります。
XDR:戦略的な検知と対応への移行
XDRとは、EDR(Endpoint Detection and Response)ソリューションが提供するコンセプトと同じもの(継続的な監視、脅威の検知、自動対応の組み合わせ)を受け継ぎ、そのコンセプトを、エンドポイントを越えて組織のエコシステム全体にまで適用するものです。
これには、アプリケーションスイート、クラウドワークロードとコンテナ、ユーザーペルソナなどが含まれます。XDRを利用することで、セキュリティチームは、組織のネットワークのどこで悪意ある活動が発生したかにかかわらず、その活動全体を検知して阻止するために必要な可視性を確保し、コンテキストに応じた相互関連付けが行えるようになります。
企業や組織がAI駆動型XDRソリューションを採用する動機となる主なメリットとしては、ネットワークを構成するさまざまな部分からセキュリティ関連のテレメトリを収集できること、それらを互いに関連付けることで攻撃のすべての関連要素からなる全体像を作成できること、そして最終的にプラットフォームの内部から対応を自動化できることが挙げられます。XDRを導入すると、ほとんどの状況において、SIEMおよびSOARツールは基本的に不要となります。
AI駆動型のXDRソリューションが持つこのような機能を利用することで、セキュリティチームは、発生したセキュリティインシデントに対して意味のある行動を取るために必要となるディープなコンテキストと相互の関連付けをリアルタイムで提供できるようになります。これにより、アナリストが、関連性のないアラートのトリアージや調査、および誤検知の選別に貴重な時間を費やす必要はなくなります。
XDRはオペレーション中心のアプローチを提供します。このようなアプローチにおいて、情報のサイロ化はもはや包括的な可視性の達成を阻む要因にはなりません。XDRは、EDR、アンチウイルス、ファイアウォール、CWPP(クラウドワークロード保護プラットフォーム)、およびその他のソリューションからの収集したテレメトリを結合することで、攻撃キャンペーンを推進する悪意ある行動の検知に重点を置いた上で、すべてのインテリジェンスを1つの参照枠にまとめます。
AI駆動型のXDRソリューションを使うと、企業や組織はセキュリティに対するオペレーション中心のアプローチを採用することで、すべてのネットワーク資産におけるセキュリティ体制に自信を持つために必要となる可視性を確保し、攻撃の進行を初期段階で阻止するための自動応答を実現できます。
さらに、AI駆動型のXDRソリューションを使うことで、エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースなどを含む、企業全体におけるサイバー攻撃の予測、検知、対応が行えるようになります。
サイバーリーズンではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。
2022年セキュリティ予測 〜4つの脅威から紐解く、2022年のサイバーセキュリティの展望〜
サイバーリーズンでは、2022年は2021年に見られた脅威傾向が継続していくと予測しており、その中でも特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。
2021年の4つの脅威を振り返りながら、2022年のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/7439/
