サイバー攻撃防止におけるセキュリティ運用チームと脅威検知ツールの効果との間に大きな断絶があることが調査で明らかに
ハイブリッドおよびマルチクラウド企業向けのAI主導型サイバー脅威検知・対応のパイオニアであるVectra AI (本社:カリフォルニア州サンノゼ、CEO:ヒテッシュ・セス) は米国時間 2023年7月19日、「2023年サイバー脅威検知に関する現状調査レポート」を発表しました。このレポートでは、企業・組織のセキュリティオペレーションセンター (SOC) チームがサイバー攻撃から組織を効果的に守れずにいる「より多くのスパイラル」に陥っている現状を明らかにしています。このレポートはVectra AIがSapio Researchに委託し、欧米の従業員1,000名以上の企業に属するITセキュリティアナリスト合計2,000名を対象に実施した調査に基づいています。
セキュリティ運用 (SecOps) チームは、高度化し、展開速度の速いサイバー攻撃を防御する任務を負っています。しかし、チームが使える人材、業務プロセス、テクノロジーは複雑化していることから、サイバー防御態勢を維持することがこれまで以上に困難になっています。攻撃対象が拡大し続け、攻撃者の手法が進化し、SOCアナリストの作業負荷が増大している結果、セキュリティチームが組織のセキュリティを効果的に確保できなくなるという悪循環のスパイラルに陥っています。本レポートでは、セキュリティ運用における現在のアプローチが持続可能でない理由を明らかにしています。
悪循環のスパイラルがセキュリティチームの組織防衛能力を脅かす
マニュアル作業によるアラートのトリアージ (選別作業) は、米国だけで年間33億ドルものコストが発生しています。セキュリティアナリストは、拡大する攻撃対象や毎日何千ものセキュリティアラートに直面しながら、脅威を可能な限り迅速かつ効率的に検出、分析、対処するという重要な役割を任されています。
- 調査対象者の63%が、過去3年間でアタックサーフェスの規模が拡大したと回答している。
- SOCチームは毎日平均4,484件のアラートを受信し、1日3時間近くをマニュアル作業でアラートのトリアージに費やしている。
- セキュリティアナリストは、毎日受信するアラートの67%に対処できておらず、回答者の83%がアラートは誤検知であり、時間を費やす価値はないと回答している。
SOC アナリストは自らの業務を効果的に行うためのツールを持っていない
SOC アナリストの大多数がツールは効果的であると回答しているにもかかわらず、彼らが気づくことができなかった盲点と大量の過検知のアラートの組み合わせが、企業とその SOC チームがサイバーリスクをうまく抑制することを妨げているのが現状です。ITインフラ全体を可視化できなければ、企業は、侵入の拡大、特権昇格攻撃、クラウド攻撃の乗っ取りなど、最も一般的な攻撃の兆候を特定することさえできません。
- SOCアナリストの97%は、大量のアラートに埋もれて、関連するセキュリティイベントを見逃すのではないかと懸念しているが、大半のアナリストは自社のツールが全体として有効であると考えている。
- 回答者の41%は、ベンダーが、のちに防御すべき攻撃になりうるセキュリティイベントに適切なフラグを立てられないため、セキュリティアラート過多が常態化していると考えている。
- 回答者の38% が、コンプライアンス要件を満たすためのチェックボックスをクリックするための手段としてセキュリティツールが購入されていると主張し、47% が、新製品に投資する前に IT チームメンバーに相談してほしかったと述べている。
アナリストの疲弊がセキュリティ業界に重大なリスクをもたらす
AIや自動化ツールの導入が進んでいるとはいえ、セキュリティ業界では、データを解釈し、調査を実施し、与えられた多様な情報に基づいて改善策を講じるために、依然として相当数の作業員が必要とされている。アラート過多と反復的で平凡なタスクに直面し、セキュリティアナリストの3分の2が離職を検討しているか、自発的に離職していると回答しています。
- 回答者の 74% が自分の仕事は期待通りだと回答しているにもかかわらず、67% が離職を検討しているか、自発的に離職している。
- 離職を検討している、あるいは積極的に離職しているアナリストのうち、34%は組織を守るために必要なツールがないと主張している。
- セキュリティアナリストの55%は、多忙のあまり、複数人数分の仕事をこなしているように感じると答え、52%は、セキュリティ部門で働くことは長期的なキャリアの選択肢にはならないと考えている。
Vectra AIの製品担当シニアバイスプレジデントであるケヴィン・ケネディは、「企業がハイブリッド環境やマルチクラウド環境に移行するにつれて、セキュリティチームは、より多くの攻撃対象、防御を回避する攻撃者の手法、より多くのノイズ、より複雑なハイブリッド攻撃など、より多くのことに絶えず直面しています。現在の脅威検知のアプローチは破綻しており、本レポートの調査結果は、様々異なる、サイロ化したツールが増えすぎたことで、SOCアナリストがうまく管理するには検知ノイズが多すぎ、かえって攻撃者が侵入するのに理想的な、ノイズの多い環境を助長していることを証明しています。業界として、このような悪循環のスパイラルに拍車をかけ続けるわけにはいきません。脅威のシグナルが効果的であればあるほど、SOCはよりサイバーに強く、効果的になります」と述べています。
リソース
Vectra AIについて
Vectra AIは、SecurityAI主導 ハイブリッド・クラウド脅威検知・対応のパイオニアです。単純に "異なる "と警告するのではなく、攻撃者の手法(すべての攻撃の核となるTTP)を検知 ためにAIを最適化しているのはVectra です。その結果、忠実度の高い脅威シグナルと明確なコンテキストによって、サイバーセキュリティチームは脅威に迅速に対応し、攻撃が侵害になるのを阻止することができます。Vectra プラットフォームとサービスは、パブリック・クラウド、SaaSアプリケーション、IDシステム、ネットワーク・インフラ(オンプレミスとクラウドベースの両方)をカバーしています。世界中の組織が、ランサムウェア、サプライチェーンの侵害、アイデンティティの乗っ取り、その他組織に影響を及ぼすサイバー攻撃への耐性を高めるために、Vectra プラットフォームとサービスを利用しています。詳細については、www.vectra.ai をご覧ください。
【本件に関する報道関係者からのお問合せ先】
Vectra AI Japan株式会社
info-japan@vectra.ai
