ガートナーに聞く、脅威検知・対応の現状と次なる段階

今回は「ガートナーに聞く、脅威検知・対応の現状と次なる段階」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　近年に企業導入が進むEDR（Endpoint Detection ＆ Response）やNDR（Network Detection ＆ Response）などの脅威検知・対応ソリューションの世界的な動向、そして今後はどのようになるのだろうか。米Gartnerでこの分野を担当するバイスプレジデント アナリストのPete Shoard氏に見解を聞いた。

–日本では近年にEDRやNDRの企業導入が加速しています。海外ではどのような状況にありますか。

　EDRはあらゆる組織が導入しており、一般的な存在です。他方で、NDRはEDRほど普及しておらず、EDRだけでは把握できない脅威の検知、対応を目的とする一部の組織が導入している状況です。

　ただ、エンドポイントの重要性が徐々に低下してきています。なぜなら、IT環境の中心がSaaSへ移行しつつあり、セキュリティの観点では、エンドポイントの保護からアイデンティティーの保護に比重が移りつつあります。もちろんEDRが近いうちに廃れるというわけではありません。エンドポイントよりもアイデンティティーの保護がより重要になるということです。Gartnerは、アイデンティティーに対する脅威の検知および対応を意味する「ITDR」（Identity Threat Detection ＆ Response）を提唱しています。

–そうなると、EDRやNDRなどの必要性が徐々に低下していくのでしょうか。

　そういうことではありません。例えば、XDR（Extended Detection ＆ Response）があります。XDRは、EDRやNDRの組み合わせといった以上に、脅威の検知と対応のためのさまざまな方法を組み合わせたプラットフォームと位置付けられます。そう見ると、脅威検知・対応のためのプラットフォームは、メールセキュリティやファイアウォールなどの組み合わせ、あるいはアイデンティティーの保護ソリューションを組み合わせたものになることも考えられます。つまり、ソリューションのユーザーの要件に基づいたプラットフォームとなります。

–脅威検知・対応ソリューションには高度な知識や経験、リソースが必要とされるため、それらが不足する日本のユーザー組織での運用はとても難しいと言われます。海外ではうまく行っているのでしょうか。

　もちろん、海外でも多くの組織が同じ課題に直面しています。ただ、うまく対処している組織では、大きく2つの工夫が見られます。

　1つはSOAR（Security Orchestration, Automation ＆ Response）技術を活用した、セキュリティ運用のオーケストレーションです。SOARは、煩雑で負荷の高いセキュリティ対策の運用を効率化する上でとても有効な手段ですが、同時に運用のための設定が非常に難しい側面もあります。このため、大量の単純作業を抱えている状況を解決するといったシーンでSOARを活用している場合が多いでしょう。

　もう1つは、リスク管理の取り組みです。セキュリティ担当者が自社のビジネスとビジネスにおけるリスクを理解し、どのような対策を打てばリスクを最も低減できるのかに着目していることが重要です。脅威の検知・対応の運用に多くを消費していたリソースをリスク管理に振り向けています。

　脅威対策についてGartnerは、セキュリティの問題ではなくビジネスの問題として取り組むべきだと提起しています。セキュリティ脅威の問題は、EDRやNDR、XDRなどの手法を導入して運用すれば、解決できるわけではありません。きちんと目的を見定め、それに合わせて手法を導入、運用していくことが不可欠です。例えばEDRなら、自社のビジネスにとってのセキュリティのリスクがエンドポイントで高いことから、エンドポイントのリスクを低減するために導入、運用するわけです。

　これは例え話ですが、セキュリティの問題とは、何も描かれていない真っ白なキャンバスであり、セキュリティの専門家は画家のような存在です。セキュリティ対策という絵を描くには、どのような絵を描くのか、そのためにどのような道具、手法を用いるのかが明確でないと、絵を描くことができません。