鳴り止まない「虚報」が現場を壊す アラート疲れ脱却の処方箋:実務で使える運用改善リスト
また誤検知か――。セキュリティアラートを黙殺したその瞬間、本物の攻撃を見逃してしまう。セキュリティ担当者を疲弊させ、組織を無防備にする「アラート疲れ」の正体と対策は。
セキュリティ製品による誤検知が多発し、セキュリティ担当者が直面する「アラート疲れ」は、実際の攻撃を見逃してしまうリスクをもたらす。誤検知を減らして防御力を高めるには、どうすればいいのか。
なぜ誤検知は増え続けるのか
誤検知が発生する可能性がある主なセキュリティ製品は以下の通りだ。
- マルウェア対策ツール
- フィッシング対策ツール
- セキュリティ情報・イベント管理ツール(SIEM:Security Information and Event Management)
- 不正侵入検知/防御システム(IDS/IPS)
- データ損失防止(DLP)
- ファイアウォール
- エンドポイント保護ツール(EDR:Endpoint Detection and Response)
そもそも誤検知が発生するのは、なぜなのか。攻撃の多様性と複雑性を考えると、どれほど優れたセキュリティ製品でも誤検知は避けられない。特にAI(人工知能)技術によって、攻撃者は標的ごとに攻撃手法をカスタマイズできるようになった結果、セキュリティ製品がそれらを「悪意があるもの」と断定することは困難になりつつある。検出されないセキュリティ侵害こそが脅威であるため、セキュリティチームは実際の攻撃を見逃すリスク(検知漏れ)を最小化することを優先している。その結果として、ほとんどのセキュリティツールで検知漏れが減る半面、誤検知が増加する傾向にある。
一部のツールは、アラートをトリガーとして、対象の動きを自動的に遮断するアクションを実行する。これが真の脅威ではない誤検知によって引き起こされた場合、正常な業務を止めてしまうことになり、セキュリティツールに対する社内の信用を失墜させることになりかねない。
セキュリティ担当者は、長期にわたって頻発する誤検知を無視しがちだ。過去に無害だったアラートを、今後も安全に無視できると思い込んでしまうのは無理もない。しかし、同じようなアラートが次に発生した際、その「誤検知だと思い込んだもの」が、真のサイバー攻撃である可能性は十分ある。
誤検知を減らす方法
誤検知を完全に排除することは現実的ではないが、各種ツールの設定変更といった施策によって、誤検知を減らすことは可能だ。以下で具体的な施策を見てみよう。
- 定期的なパッチ(修正プログラム)適用と更新
- セキュリティ担当者は定期的なパッチ適用と更新によって、セキュリティ製品を常に最新の状態に保つことが重要だ。
- しきい値の調整
- セキュリティツールが、正常な動きを誤って攻撃として報告した場合は、しきい値を確認して調整する。
- 脅威インテリジェンスの活用
- さまざまな情報をリアルタイム分析して攻撃を予測する脅威インテリジェンスを用いれば、検出の精度を高められる。
- ツールの取捨選択
- 特定の動きに対して、あるツールは頻繁に攻撃として誤検知するが、別のツールは正常な動きとして捉えてアラートを出さないことがある。セキュリティ担当者は複数のツールを通じて誤検出が多いツールを特定し、利用を停止するか、アラート機能を無効化する。
- 施策のテストと監視
- セキュリティ担当者は、誤検知を減らすための施策を本番環境に反映する前には必ずテストを実施する他、反映後も定期的にレビューして改善点を洗い出すことが大切だ。
脅威の検出に当たり、コンテキストの理解が欠かせない。コンテキストとは、サーバや従業員用デバイスといったさまざまなITリソースの役割とITリソース間の関係といった、セキュリティ関連情報の「文脈」を指す。例えば、サーバが正常な操作の一環として大量のデータを自社ストレージに転送することがあるが、サーバは通常、外部ストレージにデータを転送しない。こうしたとき、コンテキストから不正な動きだと判断できる。
Copyright © ITmedia, Inc. All Rights Reserved.