総所有コスト
"相応"なセキュリティ対策を講じるために
必要なコストは?
「相応」なセキュリティ対策では十分とは言えないのが現実です。たとえ検知率が高くても、あくまでも1つの指標に過ぎないのです。大半の組織の場合、調査にリソースを割けるアラートの割合は全体のわずか4%とされています。では、その4%が重要なアラートであるかどうかを知るにはどうすれば良いのでしょうか。 従来型のセキュリティ・ソリューションの導入環境では、アナリストが徒労に追われることになります。しかも、システムを狙う高度な標的型攻撃に対処することができない、というさらに深刻な問題も抱えています。自社のセキュリティ面でのリスクや要件、能力については皆さん自身がよくご存じかと思います。さらに、防御はどうしても攻撃より不利な立場に立たされます。攻撃者は一度でも成功すれば良いのに対し、組織にとって失敗は一度たりとも許されません。では、「相応」なレベルのセキュリティ対策で本当に問題ないと言えるでしょうか。
アラートの数と質は比例しない
セキュリティ・ソリューションを導入すれば、当然、アラートが発生することになります。マルウェア・シグネチャが配信されれば、該当するマルウェアのアラートが発生するようになるでしょう。シグネチャベースのテクノロジーや「次世代」製品、サンドボックス・ソリューションは、過去に発見されたあらゆる脅威と比較参照して侵入者を判別しようとします。その結果、多くの場合に、リスク・優先度が低い攻撃や、問題のないイベントを攻撃と見なしてしまう誤検知を含む、膨大な数のアラートが生成されるようになります。さらに厄介なことに、このような従来型のテクノロジーでは、壊滅的な被害をもたらす未知の攻撃の兆候を見逃してしまう可能性があります。
アラートの不適切な処理に伴うコスト
セキュリティ担当者の元には、1週間に膨大な数のアラートが届きます。ところが、サードパーティの調査によると、そのうち信頼できるアラートはわずか19%で、担当者が調査できるのはわずか4%であると判明しています。しかも、その4%が本当に重要であるかは事前に分かりません。その結果、アナリストは、作業時間の3分の2を誤検知によるアラートの調査に費やしています。この徒労をコストに換算すると、平均的な企業は年間で120万ドル以上を無駄にしていることになります。
この現実に直面しているセキュリティ担当者には2つの選択肢があります。どちらが望ましいか考えてみてください。
- 重要ではないアラート検出に充てられている予算(全体の3分の2)を、今すぐ適切なソリューションの導入に振り向ける
- 重要なアラートを見逃し、その結果データ侵害に遭い、復旧に伴うコストとして 時間あたり 1万~10万ドル以上を払う
「当社では、従来からその成果に疑問を持ちながらも手作業でインシデント追跡を行っていました。ところが、FireEyeのソリューションを導入したところ、この作業に必要だった少なくとも1.5人分の労働力が不要になったのです。結果的に年間で22万5,000ドルの節約になると見積もっています。ブランド力が失墜すれば、数千万ドルの損失につながると推定されます。だからこそ、自社を守るためにはあらゆる手立てを尽くさなければならないのです。1回でもデータ侵害に遭えば、これまでの80年の実績がすべて無駄になってしまいます」
- ベン・カブレラ(Ben Cabrera)氏、, ネットワーク・スーパーバイザー、Stater Bros. Markets
膨大なアラート処理とリスクの適切な管理の費用対効果
リソースの制約上、アラート全体のわずか4%しか調査できない場合、その4%は間違いなく重要なアラートでなければ意味がありません。より適切にアラートを管理し、運用コストの削減とセキュリティ対策の全体的な強化を実現する方法を解説します。
ポッドキャスト:「相応」なセキュリティ対策では不十分
「実際の所有コスト」と、膨大なアラートとそれに起因するリスクに伴う潜在的な運用コストに焦点を当てます。
FireEyeなら重要なアラートを確実に抽出
専門のアナリストが重要なアラートを特定しようとしても、その作業には157分を要します。高給のアナリストにそのような作業を行わせるのは人材の無駄遣いです。一方、以下のような特徴を備えたFireEyeのソリューションを導入すると、大幅に短い時間で重要なアラートを抽出できます。
- MVXエンジンにより、膨大な数の軽微なアラートや誤検知の中から重要なアラートを見つけ出します。 アラート検証が自動化されるため、通常は手作業で対応しているアナリストがより重要な作業に専念できるようになります。しかも、未知の攻撃の兆候も見逃しません。
- コンテキスト情報 が検証済みアラートとともに提供されるため、アナリストは素早く的確にアラートの優先度を判断し、対処方法を決定できます。コンテキスト情報には、攻撃者のプロファイルや脅威の深刻度、攻撃規模・範囲などの詳細な内容が含まれています。
- 包括的な可視化 がライフサイクル全体に及ぶため、アラートの数を最大76%削減できます。 (脆弱性の悪用中など)早期に攻撃を検知、防御することで、その後の攻撃(コールバックなど)で生成されていたであろうアラートや、攻撃の範囲拡大に伴う他の標的に起因するアラートもなくなります。
「当社では誤検知が一切発生しておらず、アラートによりインフラストラクチャ全体の状況を把握できています。また予防措置的な対策を講じることで、侵害が発生した場合の対応に必要なリソースの浪費も最小限に抑えられています。サイバー攻撃者に対し先手を打つ取り組みの重要性を強く実感しています」
- スコット・アダム(Scott Adams)氏、, 技術サービス担当マネージャ、米国テキサス州ベア郡
確実な成果が期待できるFireEyeのソリューション
適切なセキュリティ・ソリューションを導入すれば、アナリストの作業時間が直ちに最大で97%削減されます。それは、膨大なアラートに起因する業務の90%、誤検知に起因する業務の99%以上の節約に該当します。実際、「相応」以上のセキュリティ・ソリューションの導入は、予想以上に短期間で元が取れます。
以下の表では、一般的なセキュリティ・ソリューションとFireEyeのソリューションをそれぞれ導入した場合を比較しています(リソースに制約があると想定)。
| 標準的なソリューション | FireEyeのソリューション | |
|---|---|---|
| 重要なアラートを抽出するまでの平均時間 | 157分 157分 | 4分 4分 |
| 膨大なアラートへの対応に伴う年間運用コスト(リソースに制約があると想定) | 2,199万6,000ドル 2,199万6,000ドル | 190万3,200ドル 190万3,200ドル |
| 膨大なアラートへの対応に伴う年間運用コスト(インライン導入時) | 2,199万6,000ドル 2,199万6,000ドル | 45万6,768ドル 45万6,768ドル |
| 誤検知への対応に伴う年間運用コスト(リソースに制約があると想定) | 1,781万6,760ドル 1,781万6,760ドル | 1万9,032ドル 1万9,032ドル |