セキュリティ監視疲れで企業にリスク
データ過多でセキュリティ担当者が追い詰めてられている事実について学ぶ
警告が負担になる時
セキュリティ担当者は企業防衛の最前線に立つことが多く、燃え尽きつつあります。その理由は多くの場合、データ過多です。
大量の警告(一部はツール間の重複)をより分けていると、企業にとって最も重大で緊急度の高い脅威を識別して軽減する方法がわかりにくくなります。もちろん善意のセキュリティ警告なのですが、セキュリティ担当者の68%が特定の警告機能の警告量を減らし、49%は量の多い警告を完全にオフにしていることが最近の調査で判明しています。
このようなセキュリティプロトコルの寛容化は、警告を逐一調査する負担を和らげはしますが、同時にセキュリティギャップを広げ、安全侵害の可能性を高めます。それが悲惨な結果を招く可能性があり、警告を見過ごしたせいでデータ漏洩が起こったり、攻撃後の修復コストが跳ね上がったり、さらなる攻撃に晒されたりしかねません。
IBMは『2021 Cost of a Data Breach』レポートの中で、漏洩の識別に約212日、その封じ込めにさらに75日を要していると記していますが、この日数は問題を解決しない限り増加の一途になるでしょう。
セキュリティ担当者が燃え尽きる理由
セキュリティ担当者の疲弊には、重要な理由が2つあります。第一に、多くの企業が完全または部分的にクラウドコンピューティングへ移行しています。こうしたハイブリッド型インフラストラクチャは、設定と管理、増加する脅威からの保護が煩雑になることがあります。しかも、すべてのセキュリティ製品がオンプレミスとクラウドの両環境で機能するとは限りません。そのため、企業はユーザーとデータの安全を守るために追加ソリューションを導入せざるを得なくなります。
第二に、企業がセキュリティ製品をスタックに追加し続けると、それらのソリューションが収集するデータが増え、監視の負担が増します。このデータは企業を脅かす脅威を把握して軽減するのに欠かせないものですが、パースするデータの量が膨大になる場合があります。
こうした警告監視から来る疲弊は、他のいくつかの要因によってさらに酷くなります。
誤検知
Ponemon Instituteが実施した調査で回答者が記した誤検知率は20~50%です。これでは、セキュリティ担当者が自社を脅かす脅威を正確に把握することはできません。
セキュリティツールがサイロ化し、重複したアラートを送信している可能性
ポイント製品は送信データの量と質を合理化するための連携をしないため、企業のセキュリティポスチャの評価と発生する脅威の分析が難しくなります。従来のセキュリティ監視ツールは、ホスト、システム、アプリ、ネットワークレベルのどこで動作しようと、インシデントの見極めと解決を手作業に頼り勝ちです。一方、クラウドセキュリティツールの多くは、ハイブリッド環境の規模と複雑さを想定していません。
データログはコンテキストと高度な機能を欠いている
ログはハードウェアとソフトウェアでサイロ化されている場合が多く、企業のインフラ全体を考慮したコンテキストを提供できません。攻撃の識別と修復は共に時間がかかり、大量の技術データをより分けるのは並大抵のことではありません。
すべてが重要な時は何も重要でない
ツールセットが不適切だと、すべてのイベントが優先事項となり、セキュリティ担当者は最も緊要な脅威を手作業で識別するという面倒な作業をしなければなりません。適切なツールセットとは、受信データの優先順位付けを自動化し、セキュリティ担当者が貴重な時間やリソースを浪費することなく、攻撃パターンと社内の他のセキュリティリスクの進化を見極められるものです。
セキュリティ担当者が疲弊して警告への対処が追い付かず、ログデータのパースや監視ツールの管理が疎かになると、企業へのリスクが高まります。
セキュリティ監視疲れの緩和
セキュリティ監視疲れの解消は、「完璧な」セキュリティツールを導入すればいいという問題ではありません。ネットワークセキュリティの再考が必要です。
セキュリティ担当者は、統合、重複排除、包括的な可視性の提供を想定していない複数のポイントソリューションを操作する代わりに、単一のコントロールプレーンでセキュリティと監視ツールを容易に管理できます。脅威の検出と軽減の機能を一か所で管理することにより、企業はセキュリティギャップを埋め、高い可視性と制御性を得ることができます。
脅��威検出機能は以下によってさらに高められます。
ログと機械学習モデルの改善
セキュリティ担当者が自社への脅威を明確かつ簡潔に把握していれば、ログ記録が大いに役立ちます。チームは、以下の機能の1つ以上を実装することによって、ログデータを補強することができる。
AI駆動によるイベントと根本原因の分析:インシデントの前、最中、後に起こっていることを記録
予測分析:インシデントが起こる前に解消すべきインフラの弱点を特定
ネットワークの検出と応答:DevOps、マイクロサービス、API統合のサイロ化を解消し、データセキュリティのライフサイクルの全体像を把握
挙動のベースライン設定:想定内と想定外のアクションと挙動をカタログ化
自動化の有効活用
脅威検出プロセスの一部は手動入力が必要です。しかし、プロセスのうち自動化が可能な部分(理想的には戦術的で反復可能な調査と分析のステップ)を自動化すれば、セキュリティ担当者の脅威検出作業全体を軽減できます。たとえば、エンドポイントデバイスやメールアカウントのスキャニングは、ワークフローを自動化すれば、毎回スキャンのセットアップを一からするより作業が速くなります。
セキュリティツールの事前監査
既存のセキュリティ監視ツールを定期的に監査し、期待通りに機能しているか効率化します。
企業は、セキュリティの閾値を下げるのではなく、セキュリティを単一のプラットフォームに統合することでネットワークをシンプルにすることができます。それにより、セキュリティポスチャを強化し、セキュリティギャップを排除し、セキュリティ担当者が重大な脅威に集中しやすい環境を実現できます。
Cloudflareでセキュリティ監視疲れを緩和
Zero Trustの「サービスとしてのネットワーク」プラットフォームCloudflare Oneで、必須セキュリティサービスを統合し、ネットワークエッジからデプロイしましょう。Cloudflareの単一ダッシュボードを使えば、セキュリティ担当者は、ビジュアル化された分析結果、詳細ログ、場合に応じた通知のおかげで発生する脅威を常に把握しておくことができます。それらのツールはすべて、設定と管理が簡単にできます。
数百万のプロパティから得られるインテリジェンスを基に脅威の識別・軽減能力を高めた大規模グローバルネットワーク上に構築すれば、Cloudflareのネットワークが拡張するにつれて強化されるネイティブ統合セキュリティのメリットを享受できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
セキュリティ担当者の68%がセキュリティ警告を減らしている理由
セキュリティのポイント製品がデータ過多と燃え尽きにつながる状況
セキュリティ監視疲れを緩和するための推奨事項
関連リソース
このトピックを深く掘りさげてみましょう。
警告と監視の重複はZero Trustセキュリティの重要な一面です。幅広いZero Trust変革における警告と監視の位置づけを理解するために、Zero Trustセキュリティへのロードマップホワイトペーパーを入手してください。