今年も残りわずかとなりましたが、いかがお過ごしでしょうか。 クラウドセキュリティ事業部のK.Kです。
今回のブログでは、アラートやインシデント発生件数を削減するサイバーハイジーンと検知・対応ツールの統合管理についてご紹介致します。
昨今、システム監視などでアラートが頻発することで、担当者が精神的に疲弊する状況が報告されています。また、脅威アクターのAI活用等、従来の検知・対応ツールでの運用は限界を迎えると警告されています。
■脅威アクターによる攻撃増加の背景
・AIによる攻撃
AIを活用した脅威のスピード、高度化、そして範囲の拡大
・グローバル攻撃対象領域グリッド(GASG)の拡大
グローバル攻撃対象領域グリッド」とは、 世界中に存在するコンピュータや施設などすべて
に対して、 脅威アクタ-が侵入したり、そこを踏み台にしてさらに奥へ進んだりできる
すべての「隙(すき)」の全体マップのようなものとなります。
■従来の検知・対応ツールの問題点
・今日のGASGは、過去よりもはるかに広範で、継続的に拡大し、相互接続され、複雑な攻撃
対象領域を呈しています。現在、膨大な数の資産が高度なAIを活用したサイバー攻撃に
さらされています。これらの資産には、マルチクラウド環境、IoTスマートデバイス、データ
ネットワーク、APIなど、内部資産と外部資産の境界がますます曖昧になっているものが多く
含まれています。GASGの防御という課題は、DRアプローチの枠を超えています。
・アラート疲れシステム監視などで大量の誤検知や優先度の低いアラートが頻発することで
担当者が精神的に疲弊し、本当に重要なアラートまで見逃したり対応が遅れたりする状態が
報告されています。
■解決の方向性
・今すぐにできる解決策:サイバーハイジーンの強化
攻撃対象領域が拡大するにつれ、組織全体に渡るアセットの脆弱性や
デジタルリスクを管理するエクスポージャ管理の重要性が高まっています。
エクスポージャ管理を導入する事で、インシデントの発生や不要なアラートの発生を抑制
する事ができます。また、エクスポージャ管理と検知・対応ツールとの統合により、これまで
にない効果を発揮する事ができます。現在唯一その統合を1社で実現しているのが、Rapid7社
となります。以下の統合管理イメージをご参照ください。
・統合管理を支える技術
・CAASM:サイバーアセット全体の攻撃対象領域管理
・脅威インテリジェンス:ハイジーンと検知・対応の両方で脅威情報を活用
・SOAR:発見された脆弱性やインシデント対応等における自動化
・統合管理の効果
・侵入可能性の低減と効果的な検知対応の実現
・インシデント発生時の詳細調査や影響範囲の特定 (データ活用)
・インシデント対応結果の「学び」の迅速な反映(態勢強化)
・今後の検討候補:マネージドサービスの導入検討
社内のみで対応するにはリソースの限界がある場合、マネージド
サービスの活用も選択肢の1つとなります。 Rapid7社のマネージド
サービスは、XDR、脆弱性管理、デジタルリスク保護をカバーしています。
■近未来のサイバーセキュリティ対策
・先制的なサイバーセキュリティ(Preemptive Cybersecurity)
急速に進化し、継続的に拡大するグローバル攻撃対象領域グリッド (GASG) を生み出す AI 対応の新しい脅威に対応するために、先制的なサイバーセキュリティの投資
今後のブログでは、統合管理のユースケースやマネージドサービス、また近未来の先制的なサイバーセキュリティ(Preemptive Cybersecurity)についても、ご紹介したいと考えています。
