セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > ITセキュリティ対策の大部分を占めるインシデント対応

ITセキュリティ対策の大部分を占めるインシデント対応
Mike Vizard

2017年08月22日

マルウェアは深刻な問題ですが、マルウェアそのものよりも、こういった攻撃への対応方法に苦しんでいる企業が数多く存在します。今週発表された2つの調査によると、セキュリティ侵害対策への投資と対応には、改善の余地が大いにあることが明確になりました。

Osterman ResearchがCyphort(脅威検知プラットフォームのプロバイダ)の依頼で130の企業IT部門を対象に実施した調査によると、従業員数1,000人の企業で働くセキュリティアナリストとインシデント対応担当者は、セキュリティ情報イベントプラットフォーム(SIEM)によって生成されたデータの分析と対応に1週間あたり平均で92.9時間も費やしています。また、Cyportの調査によると、セキュリティインシデントへの対応に5人以上のスタッフを必要とする企業は65%を占め、標準的なSIEMを使用する企業の3分の1(31%)が、インシデント対応に必要なデータの収集と関連性の分析に2時間以上かかっています。さらに、1日に5件以上のインシデントに対応している企業は半分以上にのぼります。

今週、ITセキュリティオペレーションプラットフォームのプロバイダであるDemistoが別の調査結果を発表しています。従業員500人以上の企業200社を対象に実施したこの調査では、「生成されるアラートが多すぎてスタッフのキャパシティを超えている」と感じている企業が40%、「どのアラートを優先すればよいかわからない」と回答した企業が47.4%を占めています。さらに、回答者の30%は、インシデントへの対応手順をドキュメント化したプレイブックなどの手引き書を作成していません。実際、Demistoの調査結果では、MTTR(平均対応時間)を測定している企業はわずか14.5%にとどまり、インシデント対応の測定に必要なツールを導入していない企業は40%にのぼります。

いずれの調査結果も、SIEMプラットフォームには深刻な欠陥があることを示しています。SIEMプラットフォームには、セキュリティ侵害の追跡/分析を行う記録システムという重要な役割がありますが、その一方で大量のアラートを生成します。IT部門は調査しきれず、セキュリティ疲労に陥り、やがてはアラートに慣れてしまいます。もちろん、大量のアラートの中に重大なITセキュリティインシデントが潜んでいるわけですから、アラートを識別する専門家を探して雇用することも可能です。IT部門は経営陣に対して、ITセキュリティに多大な投資を行っているにもかかわらずセキュリティ侵害を阻止できない状況であり、多額の損害が発生し続けている理由を説明する必要があります。

このITセキュリティの悪循環を断つには、綿密なインシデント対応プランを作成し、アラートの迅速なトリアージを行う必要があります。インシデント対応プランでは、ビジネスへの影響を最小限に抑える方法でセキュリティ脅威に対抗する戦略が求められます。感染の疑いがある複数のシステムを1日に何度も隔離する方法は、現実的とはいえません。実際にマルウェアが検知された場合には、まず脅威の重大度を見極める必要があります。その結果、豊富な情報に基づいて、ビジネスへの影響を最小限に抑える方法で対処できるようになります。

この手順は簡単でわかりやすいものですが、1日に何度も行うにはそれなりの訓練が必要です。ほとんどのIT部門にとって、そのような手順を継続して実践するのは困難でしょう。このような状況を背景に、ITセキュリティの専門知識を持ったプロバイダが提供するインシデント対応サービスを利用する企業が増えています。方法はどうであれ、綿密なインシデント対応プランを導入していない企業がマルウェアに感染した場合、対策の導入コストを遙かに上回る被害を被るのは明らかです。


マイク・ヴィザード(Mike Vizard)氏は、25年を超えるIT業界での経歴に基づいて、InfoWorld、eWeek、CRN、Baseline、ComputerWorld、TMCNet、Digital Reviewなど、さまざまなサイトで編集や寄稿を担当しています。現在マイクは、IT Business Edgeでブログ記事を投稿しており、CIOinsight、The Channel Insider、Programmableweb、Slashdotにも寄稿しています。マイクはブログで、新登場のクラウドテクノロジとしてIntronis MSP Solutions by Barracudaを紹介しています。

マイクとつながりたい方は、LinkedInTwitterGoogle+をご利用ください。


*本内容はBarracuda Product Blog 2017年 7月21日 Turns Out Incident Response Is Way More than Half the IT Security Battle を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT