2024 年 9 月 10 日 Carlos Arnal 著

過剰なサイバーセキュリティアラートは瑣末な問題ではなく、ビジネスのセキュリティ戦略に直接影響を与える現実的な課題です。通知が多すぎる場合、昨今ますます規模を縮小する IT 担当にストレスを与え、かつより重いタスクの負担を与えることになります。このような状況は、緊急のアラートが見過ごされることにつながり、システムのセキュリティを危険にさらすことにもつながります。

多くのエンドポイントセキュリティツールでは、脅威を手動で分類し、アラートを管理する作業を管理者に委ねているため、チームの作業負荷、責任、ストレスが増大しています。これにより、リスクの高いインシデントに対応する時間が消費されています。これでは、脅威が広がって影響が拡大する前に効果的な対応をすることができません。サイバーセキュリティの世界では、リアクションタイムが非常に重要です。なぜなら、その速度如何で、それが効果的な対応となるか、はたまたシステムにとっての深刻なダメージのきっかけとなるかが分かれるためです。

Hack The Box による最近の研究では、 84% のサイバーセキュリティ担当者が、テクノロジの進歩と脅威の高度化を原因としてストレスを感じ、燃え尽きを感じています。ランサムウェアが攻撃として常態化した中で、2023 年には 3 億 1,700 万件以上の試行が検出されました。セキュリティアナリストの疲労は企業にとって深刻なリスクです。この問題にはどのように対処すればよいのでしょうか。

旧来の検知システム vs ゼロトラストアプリケーションサービス

これに対する解決策は、ツールを追加することではありません。一番良い方法は、より優れた自動化と正確性でワークロードを減らすようなサービスを導入することです。たとえばウォッチガードのゼロトラストアプリケーションサービスは、エンドポイントの脅威検知をゼロトラストアプローチと人工知能 (AI) を組み合わせることで人的介入を減らし、より効率的なセキュリティを提供します。

旧来のシステムと比較すると、このサービスには以下のようなメリットがあります。

• 検知能力の向上：
  今までのシステムでは、シグネチャファイルとあらかじめ定義されたルールによって既知のマルウェアを検出していました。この方法では、未知の脅威を検知する能力が制限されます。これは、定期的なデータベースのアップデートや、手動での調整が必要となるためです。AIを活用することで、既知のシグネチャに依存することなく、100％ のプロセスをリアルタイムに分類することが可能となり、未知の脅威を含む高度な脅威を検知

• 防御できます。
• 自動化：
  ほとんどの旧来のシステムでは、脅威の分類を手作業に頼っており、IT チームの作業負荷が増大し、脅威の分類と検出が不正確になるリスクが高まっています。一方でゼロトラストアプリケーションサービスはアプリケーションやプロセスの分類の過程を自動化するため、エラーの可能性を大きく減らしながら、かつ IT 担当者を単純な繰り返しのタスクから解放しています。
• 誤検知の削減：
  従来のシステムでは、誤検知が発生し、完全とは言えない分類が生じる場合があるため、手作業による分析が必要となります。これは、対応時間を遅らせ、セキュリティチームの疲労を増大させる要因となります。これに対しこのサービスは、正確でリアルタイムの分類を提供することで、誤検知を最小限に抑え、より迅速で効果的な対応を可能にします。
• 適応性：
  旧来のシステムは継続的な調整を必要とし、常に高度化する脅威に対して、人手を介さずに適応することは困難でした。しかしこのサービスでは、AI ベースのシステムにより、新たな脅威に対して自動的に適応します。
• 継続的な監視：
  ゼロデイと呼ばれるタイプのマルウェアは、カモフラージュされたり、未知のものであったりするため、従来のセキュリティシステムでは検知できないことがほとんどでした。このようなシステムは管理者による手動監視や分類に依存することが多く、これは大きなリスクとなります。一方、ゼロトラストアプリケーションサービスは、実行前、実行中、実行後の各フェーズでプロセスやアプリケーションを継続的に監視します。これにより、不明と分類されたプロセスを常時監視し、不審なアクションや異常なアクションが実行された場合、そのプロセスを監視します。

ゼロトラストアプリケーションサービスは WatchGuard EDR に含まれていますが、これはアラート疲労に関連したストレスや燃え尽きを抑えながらより効率的な防御を提供することが可能であると示す好例です。そのような目標を念頭に置きつつ、このサービスは「安全であると確認されたアプリケーションとプロセスのみがデバイス上で実行されることが保証されている」という前提に基づいて提供されています。

これは、各アプリケーションの何百もの静的属性、行動属性、コンテキスト属性をリアルタイムで分析する機械学習アルゴリズムのおかげです。このアプローチにより、プロセスの 99.98% が自動的に分類され、人手を必要とするアラートの数が大幅に削減されます。残りの 0.02% は、トップクラスの脅威アナリストチームが分析し、あいまいな点を手動で評価します。

顧客の IT 担当の業務をシンプルにするサービスやツールを勧めることで、MSP としては需要を理解していることを示せるだけではなく、保護戦略を理解した強い味方として位置付けることが可能です。ゼロトラストアプリケーションサービスを導入すれば、脅威の分類やアラートの管理が自動で行われ、IT 担当を繰り返しの作業から解放し、重要なインシデント、詳細なインサイトが必要なインシデントに集中することができます。これにより、堅牢で管理しやすいセキュリティを提供し、旧来の複雑なアプローチに依存している競合と差をつけることができます。顧客満足度を高め、長期の関係を維持し、市場でのサービスの価値を高め、ビジネスの成長を加速させることができます。

AI が顧客のセキュリティに果たす役割についてさらにお読みになりたい場合、以下をご覧ください。

MSPs: Why Strengthening Your Security to Protect Your Customers’ Security Is So Important （英語）
2024 年 MSP のトレンドとビジネスチャンス：Canalys によるレポート