【アラート疲れを打開】優先順位付けと運用自動化の必要性

公開日:

更新日:

セキュリティ運用
   

Cortex XDR」ライターチームです。

今日、企業における働き方の変化に伴い、管理対象となるオフィス環境やITツールなどが膨大かつ複雑になっている中で、それらを適切に扱い管理できるセキュリティ人材の不足も進行しています。

さらに、IT技術の進展に伴い、情報セキュリティの脅威も年々変化している中、

特にサイバー攻撃の分野では、サイバー攻撃が組織的なビジネスモデルとして進化しています。

この「犯罪のビジネス化」により、サイバー攻撃は、より高度で巧妙な手法が用いられるようになり、攻撃者は利益を得るために専門的な技術や知識を駆使しています。結果として、こうした高度で巧妙な攻撃が行われやすくなっています*1

このような変化に応じて、情報セキュリティ対策も柔軟に対応していく必要があります。

特に企業においては効率的、かつ持続的な運用が実現可能なセキュリティ施策を考えることが重要です。

これらの観点を考慮せず、ツールの導入のみに焦点を当てた場合、大量のアラートの発生につながり、近年よく耳にする「アラート疲れ」といった問題や、運用コストの増加などが起こる可能性があります。

この記事では、そのようなアラート疲れを解消するための方法として、多方面からのアラートに対する優先順位付けの自動化と運用効率化について紹介します。

目次

最近の情報セキュリティ事情について

「桶の理論」をご存じでしょうか。どこか1箇所でも弱点があれば、

他の部分をいくら補強しても水が漏れてしまう、というものです。

これは情報セキュリティにおいても同じことが言えます。

  • 桶の側板一枚一枚が対策

※セキュリティ対策の要素として重要とされているのは、「ルール」「人」「技術」です。

  • 桶の側板の高さが“セキュリティレベル”
  • 桶に溜まる水が“企業の情報資産”

セキュリティ対策を「桶の理論」で考えると、桶の側板の高さがセキュリティレベルの高さといえる

桶の側板である「ルール」「人」「技術」の対策バランスが適切に保たれた状態で、側板の高さ(セキュリティレベル)を上げることで、強固に水(情報資産)を守ることができます。

セキュリティ対策は「桶の理論」で考えることができ、「ルール」「人」「技術」のバランスが重要

出典:「総務省テレワークセキュリティガイドライン(第5版)(総務省)

企業がセキュリティ対策を効率的に行うためには、保護すべき情報資産を洗い出し、どのような脅威や脆弱性(リスク)があるのかを把握および認識したうえで、重要度に応じたレベル分けを行い、そのレベルに応じた対策を実施することが重要です。

しかし、昨今の外部脅威の高度化や守るべき情報の多様化に伴い、実際には「技術対策」の強化ばかりが注目されることが少なくありません。

また、「技術対策」の選択肢も多岐にわたるため、何を選べばよいのかの判断が困難になっています。様々なツールを導入した結果、効率的な利用ができず、過剰投資となるケースもあります。

「技術」を扱い運用する「人」の視点が考慮されなければ、「技術」のセキュリティ対策としての効果は十分に発揮されず、コストだけが増えていく可能性もあります。

顕在化する「アラート疲れ」

実際に近年では、セキュリティ環境においてインフラ・ツールの多様化/複雑化による「アラート疲れ」が深刻な問題となっています。

このアラート疲れは、「人」と「技術」の両面に関わる問題です。

「技術」だけを強化するのではなく、その「技術」を使いこなす「人」を見据えたうえで、ツールの選定や運用を整理することが重要です。

「アラート疲れ」とその影響

アラート疲れとは

膨大なアラートによって、担当者の感覚が麻痺しアラートを見逃したり、対応の遅れが生じたりする状態、のことをいいます。

アラート疲れの影響

アラート疲れが起きてしまうと、アラートの本来の役割が果たせなくなります。

アラートは、本来、大きな被害をもたらす前に潜在的な問題を見つけ出して解決するためのものです。

しかし、アラート疲れによって確認すべき正しいアラートの見逃しや軽視につながり、結果的に対応が遅れる、あるいは放置され感染が広がる、という事態につながります。

なぜ アラート疲れ が発生するのか?

① 誤検知率の高いシステムの利用

しばしば、誤検知率の高いシステムによって、アラート疲れを引き起こしているというケースを耳にします。

「誤検知は無視すればいい」と考える方もいらっしゃるかもしれませんが、実際にはそのような対応は難しいものです。

セキュリティ運用者は、検知が発生した際、まず脅威の可能性を前提として内容を確認する必要があります。誤検知かどうかの判断は、この確認プロセスを経て初めて可能となります。

誤検知は、本来検知すべきでないものを検知していることを意味し、多くの場合、業務の中断を引き起こします。

その結果、ユーザーからセキュリティ運用者への問合せが発生し、チューニングや業務復旧などの対応が必要となります。

業務への影響が生じているため、これらの対応は往々にして緊急性が高くなります。

そのため、誤検知の数が多いほど、セキュリティ運用者の作業負担と精神的ストレスが増加してしまいます。

② 優先度が付けられていないアラート発報

近年、サイバー攻撃は増加傾向にあります*2

そのような中で、複数のアラートを一つ一つ順番に確認していくことは困難です。

特に、セキュリティレイヤーごとに複数の製品が導入されている場合、各製品からのアラートが個別に発生するため、情報過多によるアラート疲れが起こりやすくなります。

また、重要でないアラートが大量に発生している場合、結果として本当に重要なアラートが無視される可能性もあり、高いセキュリティリスクとなります。

セキュリティ人材が不足する中、限られたリソースで対処を進めるためのきっかけとしては、対処すべきアラートが一目で分かるよう優先度付け(トリアージ)される仕組みが必要です。

③ 複数のセキュリティツールからの統合されていないアラート発報

複数の防御層に多層的にセキュリティソリューションが導入されている場合、導入しているセキュリティソリューションのうち単一レイヤーのツールのみに注目するのではなく、全体のシステムを見渡す必要があります。

例えば、ファイアウォールや侵入検知システム、エンドポイント保護など、すべての防御層を統合的に分析しなければ、問題の原因を迅速に特定することは困難であるといえます。

しかし、複数の製品、複数のコンソールから出力されるアラートの粒度や意味合いは製品によって異なり、初期トリアージにおいて運用者側での関連付けが必要となってしまい、結果として全体把握までに長い時間を要する事態になります。

対応の長期化によって、影響範囲が広がってしまうことにもなりますし、初期のトリアージが機能しない場合、その後のインシデント対応が適切に行われず被害が拡大してしまう可能性もあります。

迅速に対応するためには、様々なレイヤーで導入されている複数製品のログを一元的に収集し、相関分析や優先順位付けを実施できる仕組みが重要です。

④ アラート後の対応プロセスが自動化されていない

アラートが発生した後の対応プロセスが自動化されていないことも、アラート疲れにつながる要因となります。

アラートを受け取った後、手動対応をする場合、時間と労力がかかり、ミスの発生リスクも高まります。

また、同じような対応を繰り返し行う作業に対して、人的工数をかけ続けるのはコストの面でも効率的ではないと考えられます。

単純作業となる対応プロセスが自動化することで、セキュリティチームはより重要なタスクや判断に専念することができます。

以上4点より、誤検知率と相関分析されたアラートの出力、さらにトリアージによる優先度付けを実施し、それに併せて対応プロセスを自動化することで、「技術に振り回される担当者」ではなく、「技術を適切に使いこなす担当者」という本来あるべき姿が実現できるのではないでしょうか。

「アラート疲れ」を解消~アラートの優先順位付け/運用の効率化につながる「XDRソリューション」~

サイバーセキュリティ脅威の激化に伴い、管理対象となるオフィス環境やITツールは膨大化かつ複雑化しています。

こうした状況に対応するため、運用効率化のためのソフトウェアおよびサービスソリューションの展開が行われています。

以下に、前述の課題を解決するソリューションとその効果を紹介していきます。

SIEM

SIEM(Security Information and Event Management:セキュリティ情報、関連イベントの管理)とは、Gartner(ガートナー)社が2005年に提唱したセキュリティ概念およびソリューションです。

サーバやネットワーク機器などの複数のコンポーネントからセキュリティに関連するデータを集約し、それを分析することで異常な動作や潜在的なサイバー攻撃を検知、解析します。

SIEMの構成イメージ

主な特徴:

  • セキュリティ機器やサーバ、アプリケーション等から「ログを収集」
  • 収集したデータの「可視化」
  • 収集したログデータを参考にイベントを「相関的に分析」
  • リアルタイムの脅威検出「アラート通知」
  • 管理のための「レポート生成」

メリット:

  • 大量のセキュリティデータを効率的に処理
  • 重要な脅威をすばやく特定
  • 限られたリソースで対策可能

デメリット(課題):

  • 導入の設計、他製品からのログ取り込みなどのハードルが高い

 SIEMは組織のシステムを包括的に管理・分析できる便利な機能ですが、これを導入・運用するためには「セキュリティ解析」「ログ管理」ができる人材が必要となります。

また導入の設計時には

  • どのような分析結果や情報を抽出するか
  • どのようなルールやしきい値でアラートを出すか
  • 脅威を検知した際、どういったルールで自動対応させるか

を検討する必要がある為、他の製品からのログ取り込みのハードルが高く、さらに設計が適切でなければ過検知や誤検知の要因になってしまいます。

  • アラートの自動処理、セキュリティフローの自動化(SOAR)までの実装はされていない場合が多い

このように、SIEMは広範なデータ収集と分析に優れていますが、設計と管理/維持の複雑さが課題となります。

XDR

XDR(Extended Detection and Response:複数のセキュリティ製品をネイティブに連携し、統合的なセキュリティオペレーションシステムを実現する脅威検知・インシデント対応ツール)は、セキュリティプラットフォームを手がけるパロアルトネットワークス社のNir Zuk氏により2018年に提唱されたセキュリティ概念およびソリューションです。

複数のセキュリティ製品からデータを統合し、相関分析を行うことで、より広範な脅威の検知と対応を可能にするプラットフォームです。

高度な分析機能と機械学習でアラートの優先順位付けを自動化します。

XDRの構成イメージ

主な特徴:

  • 複数のエンドポイント、サーバ、ネットワーク、クラウド、メール、

アプリケーションを包括し、監視データの集約/可視化

  • 脅威インテリジェンスに基づいたインシデント分析および相関付け
  • AIを活用した高度な脅威検知
  • インシデント発生時の自動調査と対応機能

メリット:

  • 事前に設定されたルールに基づき検出するため、

導入設計のハードルが低い(他製品連携もAPI等あり)

  • 脅威動向に併せたルールチューニングが不要
  • セキュリティ関連のデータ集約、サイロ化からの脱却
  • 大量のアラート処理にかかる運用の効率化、負荷の軽減

デメリット(課題):

  • あくまでも事後対策であるため、防止策にはならない
  • 専門知識が必要になり属人的な運用になる場合がある

このように、XDRは包括的な脅威検知と対応を提供しますが、既存システムとの統合や専門知識が必要です。SIEM、XDRというソリューションはそれぞれ固有のメリットとデメリットを持っています。

ただ、アラート疲れの解消が目的であれば、アラートの優先順位付けや運用自体の効率化を狙える「XDRソリューション」を選ぶ方が最適と言えます。

アラートの優先順位付け自動化とセキュリティ運用効率の底上げを実現する「Cortex XDR」

パロアルトネットワークス社が提供している「Cortex XDR」は、業界初のXDR、セキュリティプラットフォーム構想(組織のセキュリティ対策を統合的に管理し、効率的に運用するための戦略やフレームワーク)を実現できることで注目を浴びています。

本製品は、XDRが主に担う「事後対策」のみにとどまらず、

優れた脅威防御能力を兼ね備えています。「統合セキュリティプラットフォーム(複数のセキュリティソリューションやツールを一つのシステムにまとめ、データの可視化や分析を行うことで、

組織全体のセキュリティを強化するためのプラットフォーム)」として提供されるため、単なる事後対策ではなく、脅威に対する防御力検出力のバランスを、高いレベルで両立したXDRソリューションです。

実際に、2023年のMITRE ATT&CK評価で100%の検出率を達成*3し、その脅威検知能力の高さを証明しています。

さらに、この統合プラットフォームにはSOAR(Security Orchestration, Automation, and Response)についても拡張することが可能なため、最終的に集約/相関分析されたアラート後の対応プロセスの自動化も実現できます。

当社は、Cortex XDRの導入について、包括的な伴走支援を提供しています。

問合せ窓口を設けるだけでなく、お客様の環境把握から、お客様に併せたポリシー設計提案~設定など、運用フェーズを見据えた支援を行います。

Cortex XDRの機能を最大限に引き出し、効果的なセキュリティ体制を構築できるようサポートを行っています。

Cortex XDRのポイント

✅多角的な機能実装方式

Cortex XDRは、高度な多層防御アプローチを採用した統合型セキュリティプラットフォームです。

Cortex XDRの、複数の防御層が連携することで、高度なサイバー攻撃にも効果的に対応し、各機能が互いの盲点を補うことで、誤検知を減らしつつ緊急性の高い脅威を見逃さない、精度の高い検出精度を実現しています。

✅機械学習によるスクリーニング

Cortex XDR」は、検知情報を機械学習によってスクリーニングし、その中で対応が必要なものだけをアラート検出させることが可能です。

従来のEDR(エンドポイント検知&応答)製品の多くは、エンドポイントからログを収集・分析し定義されたルールに準じアラート発報します。

これらアラートは収集したログに対し怪しい挙動がある場合に発報されるものとなる為、アラートの数としては膨大になり、企業にとって負担となることがあります。

このような状況に不安を感じている企業も多いでしょう。

一方で、「Cortex XDR」は、EPPEDR含め各種アラートを、その検知状況や種別に併せ一つの「インシデント情報」として関連情報をまとめ、カテゴリ集約できる特長があります。

実際に導入されているお客様では、担当者の対応時間に6時間ほど要していたものが平均10分程に収まるようになったという効果が出ています。

✅セキュリティプラットフォームの実現

AIや機械学習を通じた分析により脅威を検出し、端末を保護しながら、様々なレイヤーのログをシームレスに統合できます。

そのため、エンドポイントだけでなく、ネットワークやクラウド、IoTといった各領域を統合的に可視化、管理し、企業全体のセキュリティレベルを向上させることが可能です。

統合されたログはCorte XDRによって相関分析、関連付けが行われ、かつ、検出されたインシデントが表示されるため、利用者側にて全体把握までの時間を短縮することができます。

Corte XDRは統合したログの相関分析や関連付けが可能

✅ セキュリティオペレーションの最適化

Cortex XDRによってセキュリティレベルの向上が見込めるほか、インシデントレスポンスに「SOAR」を取り込むことで、セキュリティ運用にかかるコストの削減も可能です。

Cortex XDRやCortex XSOARによるセキュリティオペレーションの最適化

Cortex XSOARを用いたセキュリティ運用サイクル>

Cortex XSOARを用いたセキュリティ運用サイクル

出典 (参考文献一覧)

※1 IPA独立行政法人 情報処理推進機構|情報セキュリティ10大脅威 2024 (参照日:2024-08-02)
※2 総務省|ICT サイバーセキュリティ総合対策 2023 (参照日:2024-08-02)
※3 Paloalto Networks | CortexがMITRE Engenuityの評価テストで100%の保護と検出を唯一実現(参照日:2024-09-13)