1. HOME
  2. ブログ
  3. セキュリティ・チーム、脅威検知ツールに対する高い不信感

セキュリティ・チーム、脅威検知ツールに対する高い不信感

●SOC担当者の60%がセキュリティ・ベンダーはサイバー脅威の責任を回避するために無意味なアラートを受信していると回答
●47%はベンダーが提供するセキュリティ・ツールの機能性を信用していないと回答

ハイブリッドおよびマルチクラウド企業向けのAIによる拡張検知とレスポンス (NDRおよびXDR)であるVectra AIは、このたび「2024年サイバー脅威の検知とレスポンスに関する調査報告書:防衛者のジレンマ」(英文)を発表した。

この報告書によると、セキュリティ・オペレーション・センター(SOC)担当者は、あまりにも多くのツールがサイロ化し、正確な攻撃シグナルの受信能力が不足しているため、対処すべき深刻な脅威の検知と優先順位付けに対応できていないことが判明した。SOC担当者は、セキュリティ・ベンダーのツールは、本当の攻撃を発見するのに役立つよりも、むしろ邪魔になると考えている。これは、SOCチームの能力に対する自信の高まりや、人工知能(AI)が提供する機能に対する楽観的な見方とは対照的な評価である。

ハイブリッド攻撃の状況は拡大し続けている。組織はプロセスの効率化と業務を拡張するために、ますます生成AIを搭載したツールに目を向けるようになった。この傾向は攻撃者にとってはより多くの攻撃チャンスとなる一方で、ノイズと誤検知に苦慮しているセキュリティ・チームにとっては検知や防御における課題を増やすことにつながる。SOCチームは1年前よりもサイバー脅威に対する防御能力に自信を持っているが、多くのチームは、実際の脅威を効果的に検出し、優先順位をつけるための適切なツールがないと感じている。

この報告書は、Vectra AIが委託し、Sapio Researchが実施した2024年6月の調査に基づいている。この調査は、北米(500人)、ヨーロッパ(850人)、アジア太平洋(400人)、中東(250人)に拠点を置く従業員1,000人以上の組織で働いている、またはITセキュリティに関する意思決定に影響を与える2,000人を対象に実施された。なぜSOC担当者におけるジレンマが存在するのか、現在の脅威検知ソリューションがどのように不足しているのか、このプロセスを改善し、正確な脅威情報を提供し、SOCチームの作業負荷を軽減するためにAIが果たす役割とは何かを説明している。

SOC担当者は対応能力に自信を深めているものの、従来のツールが足かせになっていると懸念

SOC担当者は、自分たちの能力に自信を深めているが、深刻な脅威の検知と優先順位付けに関しては、自分たちが遅れをとっていると感じている。このギャップが意味することは、多くのSOCチームは、あまりにも多くのツールを管理し、圧倒的な数のアラートと格闘しているため、重要な脅威を見逃してしまう懸念を高めているという事実である。SOC担当者は、現在使用している脅威検知ツールに対する自信の失っており、XDR(拡張型検知・レスポンス)ソリューションなどの代替ソリューションを求めている。

調査の結果:

  • SOC担当者の4分の3近く(71%)が、アラートの洪水に埋もれて本物の攻撃を見逃すことを懸念しており、51%が、増加するセキュリティ脅威に追いつけないと考えている。
  • 半数近く(47%)の SOC 担当者は、自分たちが必要とするようにツールが機能することを信用していない。54%は、使用しているツールはSOCの作業負荷を軽減するのではなく、むしろ増加させると回答している。
  • SOC担当者の73%は10以上のツールを導入しており、45%は20以上のツールを導入している。
  • 62%のチームが、拡張型検知・対応(XDR)ソリューションを最近採用したか、検討中である。

従来の脅威検知ツールがSOC担当者の負担を増やし、ベンダーへの不信感とツールへの不満の高まりにつながっている

多くのSOC担当者は、受信する膨大な量のアラートを管理することに時間を取られ、重要なタスクを脇に追いやっていることに気づいている。彼らはツールだけでなく、ツールを提供するベンダーにも不満を募らせている。また、アラートの精度にも苦慮している。時間の制約やツールのサポートが不十分なために、かなりの数のアラートが対処されないままとなっている。ハイブリッド環境の可視化などの分野では改善の兆しがあるものの、圧倒的な量のアラートへの的確な対応は依然として重要な課題である。

調査の結果:

  • 60%のSOC担当者は、ベンダーはノイズやアラートが多すぎる脅威検知ツールを販売していると回答している。また、71%は、ベンダーは侵害を阻止できなかった場合にもっと責任を負う必要あると回答している。
  • 81%のSOC 担当者が、1 日あたり 2 時間以上をセキュリティ・イベントの調査/選別に費やしている。
  • 50%のSOC担当者は、実際の攻撃を発見する際、セキュリティ・ツールは助けになるどころか邪魔になると回答している。現実的には、受信したアラートの38%にしか対処できないが、そのうちの16%は「本物の攻撃」に分類されている。
  • 60%のSOC担当者が、セキュリティ・ツールの多くはコンプライアンス遵守のための 「形式的な」行為として購入されていると回答している。

脅威検知におけるAIの活用と信頼は高まっているもののベンダーの課題は多い

SOCは、脅威の検知とレスポンス能力を改善するためにAIの導入を進めている。その背景には、AIの能力に対する信頼が高まっていることがあげられる。多くのセキュリティ担当者は、サイバー脅威を正確に検知・対応する脅威シグナルの有効性、彼らのワークロードの削減、従来のツールを置き換えといったAIの潜在能力について楽観的な捉え方をしている。一方で、すでに許容量を超えた使い方をしているシステムをさらに複雑にしてしまうのではという懸念がある。

こうした課題にもかかわらず、AIを活用したソリューションにさらに投資して効率性と有効性を高めようというニーズは高まっている。しかし、AIが真に広く受け入れられるためには、ベンダーはSOCチームの負担を増やすことなく真の価値を付加するツールを提供することで、信頼の回復に努めなければならない。

調査の結果:

  • 85%のSOC担当者は、AIへの投資と利用がこの1年で増加したと回答し、67%はAIが脅威を特定し対処する能力にプラスの影響を与えたと述べている。
  • 75%のSOC担当者は、過去12ヶ月間にAIによって作業量が軽減されたと回答し、73%は、AIによって過去12ヶ月間の燃え尽き感が軽減されたと回答している。
  • 89%のSOC担当者は、今後1年間で、従来の脅威検知・レスポンスに代わり、AIを搭載したツールをさらに活用する予定と回答している。

Vectra AIのリサーチ&ストラテジー担当バイス・プレジデント、マーク・ヴォイタシアック(Mark Wojtasiak)は、「セキュリティ担当者の間でAIに対する信頼が高まっていることは喜ばしいことですが、現在の脅威検知ツールに不満を募らせていることは明らかです。しかし、攻撃シグナルが統合されていないことから、プロセスを合理化するよりもむしろ新たな作業を増やしてしまっています。今回の調査データは、脅威の検知・レスポンスに使用されているツールや、それを提供するベンダーが、脅威の検知・レスポンスに十分な役割を果たしていないことを示唆しています。セキュリティ・チームは、AIが脅威を特定し、優先順位をつけ、攻撃シグナルを発信してくれると信頼しているものの、我々は彼らとの信頼関係を再構築する必要があると考えます。セキュリティ・ベンダーは、ソリューションを販売する技術だけでなく、どのような付加価値を提供できるかを顧客企業に示していくことが重要です」と述べている。

英文のレポート全文はこちらからダウンロードが可能である: <https://www.vectra.ai/resources/2024-state-of-threat-detection>

出典:<Vectra AI調査>セキュリティ・チームが深刻なサイバー攻撃の特定に苦労する一方、脅威検知ツールに対する高い不信感

関連記事