デジタル化の推進が続く中、ハイブリッド企業のSOCチームは、それがハイリスクかつハイリターンであることに気がつき始めています。
デジタル化は業務効率や利益率を高め、市場シェアの拡大にも貢献します。しかし、それは同時にアタックサーフェスの拡大と脅威リスクの増大を意味し、私たちが 「より多く 」と呼ぶ現象の基礎となります。
それでも、企業はデジタル化しなければこの先生き残ることが難しくなります。今回は、いくつかの課題を取り上げたいと思います。
急速に拡大する脅威サーフェス
デジタル化により、企業のアーキテクチャやプロセスにレイヤーが追加され、アタックサーフェスが複雑かつ急速に拡大し、防御が難しくなります。デジタル化は、より多くの攻撃、シグナル、ノイズを招き入れるため、脅威はアラートの洪水に紛れて見えない可能性も増加します。
そのため、ダイナミックなIT環境のセキュリティ確保は、2021年よりもはるかに難しくなっています。
セキュリティ担当は、自分だけが苦しんでいるではないかと感じているかもしれませんが、そんなことはありません。最近の調査では、ハイブリッド企業のSOCチームの63%が、過去2年間でアタックサーフェスが「大幅に」拡大したと回答しています。
ツール拡散のビッグバン
アタックサーフェスの拡大や目に見えない脅威の急増に加えて、新しいツールの爆発的な増加は、アナリストの対応領域を確実に超えてしまいます。
確かに、ベンダーはツールを増やせば解決すると約束するでしょう。しかし、ツールはサイロ化されており、連携することができないことも多いです。さらに、常時監視が必要になったり、カバー範囲が重複したりするため、結局、シグナルやアラートの量は増えても、可視性は以前より低下してしまうこともあります。
要するに、ツールの追加は仕事の正確さや効率性を高めるどころか、新たなレベルの複雑さやフラストレーションをもたらす可能性があるのです。
新たな盲点
毎日、新しいツールによって生成された何千もの新しいシグナルやアラートに対して、キャッチアップに多くの時間を費やしていることでしょう。実際、平均的なSOCチームは毎日4,500件近くのアラートを受け取っており、そのうちの67%は分析されていません。分析する時間が足りないのです。この絶え間ないアラートの洪水と、シグナルのコンテキストの欠如が組み合わさることは、死角が大幅に増加することになります。
これについては、セキュリティに関する業務を行う人はすでに実感しています。前述の調査では、SOCアナリストの71%が、自分が働いている組織が侵害されている可能性が高いことを認めています。
技術によって逆に視界が曇ってしまっているのです。
天文学的な「燃え尽き」率
その過度なストレスから、SOCチームは労働者の「燃え尽き」と人材不足に見舞われています。世界全体で340万人の熟練労働者が不足しているという試算が出ています。燃え尽き率の高さは、シグナルの効きが悪く、成果が上がらないまま長時間労働を強いられる日々のストレスに直結している。これが、過労→ストレスの増大→退職という悪循環を生み出しているのです。
驚くべき統計結果が出ています。 セキュリティ人材の約2分の1が「改善を求めて声を上げずに辞めてしまおう」と考えています。約3分の1がこの業界を去る理由として、絶え間ないストレス、燃え尽き、職務が精神衛生に与える影響のいずれかを挙げ、67%が離職を検討しているか、実際に転職しています。
「より多く」のスパイラルは現実に存在するのです。
認知的不協和による問題のすり替え
この調査ではまた、SOCアナリストの97%が、大量のアラートに埋もれて関連するセキュリティイベントを見逃すことを心配していることも指摘しています。また、40%近くがツールによるノイズの増加も問題であると回答しています。
しかし、調査対象となったほとんどのSOCアナリストは、IT環境全体の可視性が約75%しかないことを認めながらも、ツールを全体的に「効果的」と評価しています。(SOCアナリストの自信の危機については、別の記事でご紹介します) 。
進むべき道
簡単な答えとしては、うまくいっていないものを捨てて、うまくいっているものを採用するということです。あるいは、より広範なハイブリッド戦略に適合し、作業やノイズを増やすだけでなく、チームが今日の課題に対処できるように構築されたソリューションに投資することも挙げられます。SOCアナリストにバラバラの検知シグナルを送るサイロ化されたツールが多すぎるのです。ハイブリッド攻撃者はこのような複雑さの中で、人知れず組織内に侵入し、紛れ込み、前進しています。
勝ち始めるためには、SOCチームはハイブリッド攻撃者のスピードとスケールで考え、動く必要があります。個々のアタックサーフェスで考えるのではなく、ハイブリッド攻撃者、つまり1つの大きなアタックサーフェスとして捉える必要があるのです。
しかし、OTからエンドポイント、さらにその先のクラウド環境まで、ITインフラ全体を可視化できなければ、ハイブリッド企業では、横方向の移動、特権の昇格、クラウドアカウントの乗っ取りといった、最も一般的な攻撃の兆候を見つけることすらできません。
この課題に立ち向かうために、VectraのAttack Signal Intelligences は、比類のないシグナルの明瞭性、脅威のトリアージ、自動化されたAI主導の脅威レスポンスをあらゆる SOC チームに提供しています。Vectraは、最も重要な脅威を阻止することで、さらなる脅威のスパイラルを断ち切るお手伝いをします。
詳細は、 Vectra AI プラットフォームの仕組みをご覧いただくか、脅威検知の現状レポートをご確認ください。