Romy Haik
/
Head of Product
10.8.25

ゴーストを追いかけるな:アラート疲れの解消に検証が重要な理由

どのサイバーセキュリティ部門でも「アラート疲れ」が問題になっています。

SOCチームはほとんど統合されていない、または異なる言語の複数ツールから上がってくる毎週平均17,000件のアラートに対応していることがわかっています。にもかかわらずその半分以上が誤検出なのです。MSSPによってはこうした誤検出率が99%にも上っています。

その結果は明らかで悲惨な状況です。アナリストはゴースト―すなわち緊急性が高そうに見えるが実際にはまったく影響のないアラート―を何時間も追いかけています。それが続くとリソースが枯渇し、チームは疲れ果て、組織の安全性を維持するために作られたツールへの信頼も損なわれます。

ノイズの隠れたコスト

誤検出は時間の無駄につながるだけでなく、SOC全体に波及効果をもたらします。意味のないノイズが多すぎると、実際の脅威に気付かない可能性が高くなります。アナリストは忙殺され、アラートが山積してしまい、ほどなくチーム全体が検出用ツールを信頼しなくなります。

大規模なエンタープライズではこの問題は数値に現れる結果をもたらします。ゴーストハンティングに要する時間は1週間に286~424時間で、これは年間130万ドルに相当します。そしてすべてを調査する人や時間が足りないため、結果的にアラートの81%が無視されてしまうのです。 

人に及ぼす被害も深刻です。チームの62%が不満を感じ、70%が極度の疲労を訴えています。これはまさに生産性の低下スパイラルで、アラートの増加、調査対象の減少、極度の疲労蓄積、間違った警報の増加といった状況が発生します。

そして本当のリスクは時間の無駄ではなく脅威の見落としです。組織の55%がアラート疲れによって真の脅威を見落としたことを認めています。プレッシャーがかかると手抜きが発生します。サイバーセキュリティ部門の68%が、誤検出が想定される脆弱性を意図的に無視していると話しています。攻撃者はこれを狙ってアラート疲れの成功を期待しています。

高い代償:ゴーストアラートに真の脅威が隠れていた事例

今年前半に大手金融サービスプロバイダで複数のセキュリティツールから一連の“critical”アラートが発出され、ランサムウェア攻撃の可能性が示唆されました。同社のSOCチームは丸2日かけて500以上の重大アラートを調査し、98%以上が脆弱性スキャナーの設定ミスによる誤検出だったことがわかりました。

そして実際の問題だったパッチ未適用のリモートアクセスサーバーを突き止めた時には、攻撃者がすでにエクスプロイト済みでイニシャルアクセスが行われていました。侵害は食い止めることができましたが、修復とダウンタイムに要した費用は75万ドルでした。

これは珍しいケースではなく多くの企業や組織で発生しています。アナリストが疲労困憊すると無駄な時間が発生し、アラートが無視されるようになります。そしてチーム全体で極度の疲労が蓄積し、最も重要な問題が見落とされるようになります。

検出自体の問題ではない

今やほとんどの場合、ツールの検出能力には問題ありません。脆弱性、古いソフトウェアバージョン、エクスポーズされたサービス、リスクのある設定を大規模に特定することができます。問題はその次の段階にあります。

検出結果は単に可能性を示すものです。私の考えでは検出は最初の糸口として捉えるべきです。結論ではなく、スタートポイントなのです。ここでプロセスが終了するのではなく、ここから開始します。検出は何か問題があるかもしれないということを知らせるもので、実際の問題なのか、重要性が高いのか、エクスプロイト可能なのかを確定するものではありません。そこで重要になるのが検証です。

検証しなければSOCチームはすべてをcriticalとして扱い、幻の脅威を追いかけることになります。ゴーストはこういった状況から発生します。緊急性が高そうに見える数千件もの「重大度の高い」アラートのことです。実際には本当のリスクはそのうちごくわずかなのです。

検証の重要性

検証によってSOCの作業方法が変わります。すべての検出結果に対処するのではなく、実際にエクスプロイト可能な脆弱性かどうかを確認するのです。そのためのプロセスはシンプルでパワフルな質問に答えることから始まります。

  • 攻撃者はこのアセットにアクセスできるのか?
  • 実際にエクスプロイトされているのか?安全にテストできるのか?
  • 不正アクセスされた場合、このアセットはビジネスに深刻な影響を及ぼすか?

このコンテキストを検出に追加することでノイズを遮断することができます。ULTRA REDでは企業や組織が検出結果への信頼性を高めつつアラート量を最大90%削減するお手伝いをしています。アナリストが終わりの見えないトリアージから解放され、脅威ハンティング、インシデント対応、防御強化といった有意義なセキュリティ作業に専念できるようになります。

検証がプロセスの一部に組み込まれることですべてが変化します。誤検出率がほぼゼロに下がります。Mean Time to Remediate(平均修復時間)が数か月から数時間に短縮されます。目の前のデータに対する信頼性が高まるのでチームコラボレーションが強化されます。検出によって調査すべき箇所がわかりますが、検証によって修復すべき箇所がわかります。検証しなければゴーストを追いかけているようなものです。

ゴーストに自社のセキュリティプログラムの主導権を渡すな、そして破壊させるな

最新のオンデマンドセッションでは検証ワークフローを詳しく紹介いたします。サイバーセキュリティ部門がノイズを解消し、実際のリスクに専念できるように実践的なアドバイスもお伝えしています。

オンデマンドウェビナーを視聴。

request a demo
view plans

Platform

Platform OverviewDiscoveryVectorsVITA AITechnology

Use cases

Energy
Automotive
IT & Technology
Telecommunications
Government
Finance & Banking

Company

aboutnewsイベントAchievementscareers

Library

ResourcesSuccess Storiesblog

Partners

Become a partnerpartners portal
LinkedInX/Twitter
Privacy Policy
お問い合わせ
プラン

プラットホーム

製品DiscoveryVectorsVITA AIテクノロジー

ユースケース

ITとテクノロジー
通信
行政機関
金融とバンキング
自動車
エネルギー

企業情報

UltraRedについてニュースイベント実績採用情報

ライブラリ

リソース導入事例ブログ

パートナー

パートナーになるパートナー
LinkedInX/Twitter
プライバシーポリシー