ブログ(製品・サービス関連)

セキュリティ対策の究極の目的とは?

攻撃者に狙われないため、ウイルスに感染しないため、情報漏えいしないため、侵入されないため…様々な目的があると思いますが、究極のゴールはその結果引き起こされる最悪の結果、つまり侵害等に端を発するビジネスへの悪影響を防止するためではないでしょうか。

迅速な対応が被害を最小限に喰いとどめるカギに

侵害によるビジネス影響を軽減するためには、いかに迅速に侵害に気付き、対処するかがカギになります。残念ながら、Mandiantの最新調査でも、実際に攻撃者が侵害を開始した日から、被害者がその事実に気が付くまでの中央値は56日もあることがわかっています。例えば、Mazeなどの登場で再度話題になっているランサムウェアに関しては、約75%のケースで3日以内に展開されることがわかっています。この例で言えば、侵害開始から3日間の初動がその後の被害に大きな影響を及ぼすことになります。


図:ランサムウェアの初期侵入から展開までに要した日数
FireEye ブログ 「ランサムウェアは業務時間外に展開される」より

有事に備える:早期発見早期対処を実現するために

しかし、侵害の早期発見は容易ではありません。攻撃の予兆は明示的なものではないからです。単一のアラートだけで侵害を見抜くことは不可能ですし、さらに日々発生する大量のアラートのほとんどは軽微なものです。アラート疲れ、という言葉が象徴するように、その中から重要なアラートを見つけ出すことは困難です。さらに、アラートごとの相関関係を分析し、影響度を調査し、初めて侵害の痕跡を見つけることができるのです。またその調査には、目まぐるしく進化する攻撃者の手法に関する深い造詣が求められます。

それを軽減し、有事に備える方法がMDR (Managed Detection and Response)の活用です。主に、エンドポイント対策であるEDRをセンサーとして用い、お客様に代わってセキュリティ分析のプロが、重要性の高いアラートを見つけ出し、影響度を調査します。MDRの重要なポイントは、侵害を見つけ出すだけでなく、それに対する対応を実施する点にあります。早期発見、早期対処の「対処」部分がこれに相当します。

MDRは単なるEDR管理サービスとは異なります。Detection and Response とは検知と対応であり、対応ができなければMDRとは呼べないのです。

何を基準にMDRを選択すべきか

では、何を基準にMDRを選べばよいのでしょうか?前述のとおり、侵害に対する迅速な対応能力はその一つです。では、何を根拠に隠れた侵害を見つけ出すのか?そもそもアラートが発生してから侵害に気づくのでは遅すぎるのではないか?MDR選択時には、確認すべき重要な項目がいくつかあります。

侵入を『侵害』に発展させないために」では、MDR選択に際して確認すべき5つの項目をはじめとする、MDR選択のヒントをご紹介しています。すでにMDRをご利用のお客様も、EDRのみ利用中のお客様も、ぜひ来るべき侵害に備えるために何を考慮すべきかのヒントとしてください。