目次 |
原文のブログはこちらからご覧いただけます。
XDR(Extended Detection and Response)の導入を検討する組織の多くは、マネージド XDR サービス(MXDR)の購入にかじを切り始めています。このサービスにより、時間と費用の両方が節約できるとされているためです。お客様の組織にとって、XDR を自社で構築する場合とサービスとして購入する場合とでは、どちらが適切なアプローチとなるのでしょうか。
サイバーセキュリティにおける複雑性の問題
今日の脅威アクターは、洗練され、巧妙で、かつ持続的です。単独で行動することはもはやほとんどなく、犯罪的な事業を立ち上げ、闇社会の企業のような形で活動しています。これは「サイバー犯罪の企業モデル」とも呼ばれており、こうした組織には採用担当者や開発者、さらには経営幹部までもが存在します。
この事態をさらに深刻化させているのが、個人所有デバイスの持ち込み(BYOD)や、ファイアウォールを越えて動作する VPN、そして、サイバー犯罪者が特定のユーザーを直接狙って侵入を試みているという事実です。もはや攻撃対象は企業のネットワークだけではないのです。
こうして拡大する攻撃対象領域ですが、その全体にわたり、脅威アクターは脆弱性を探し続けています。ベンダーとクライアント間で、セキュリティ責任が重複した状況での見落としや、個人所有デバイスの設定ミス、信頼を置いたパートナーでも不注意によるミスなど、すべてが攻撃者の格好の的となります。また、セキュリティチームはすべての攻撃を防がなければなりませんが、サイバー犯罪者に必要なのは 1 回の成功だけです。
組織の外部の脅威アクターに起因する課題に加えて、組織の内部でのサイバーセキュリティ課題も深刻化しています。エンドポイント、ネットワーク、モバイルデバイス、クラウドサービス、SIEM、アイデンティティ、モノのインターネット(IoT)などのデータソースを保護するテクノロジーが複雑化し、IT チームやサイバーセキュリティチームの手に負えなくなっていることが多いのです。
組織によっては、個々の脅威に合わせた特定用途のソリューションが数十種類も存在しているかもしれません。しかしこのアプローチはすぐに維持できなくなります。
新たなツールが増えるたび、サイバーセキュリティはより複雑化し、費用がかさみ、維持するのが難しくなります。これらのツールは一斉に、雪崩のようにアラートを生成するため、その中からさらなる調査に値する少数のアラートを見つけ出さなくてはなりません。最近の調査では、セキュリティの専門家の 83% が「アラート疲れ」に悩まされ、他の優先事項がある中でのアラートへの対処に苦慮していることが明らかになっています。またこの場合、社員のトレーニングの負担も大きくなります。
セキュリティツールが新たに追加されると、セキュリティスタックが自らの重みに耐えかねて破綻する可能性が高まります。組織にとっては、ネットワーク防御の担当者が複数のコンソールを行き来することになるため、統合や互換性の問題や、全体的な可視性の欠如、時間の浪費がネックになることが懸念されます。
サイバーセキュリティにおける雇用ギャップ
「ツールの乱立」はセキュリティ上の大きな障害となりますが、人材の確保もまた同様です。中小企業はサイバーセキュリティの人材不足から特に大きな打撃を受けており、多くの場合、セキュリティの専門家からなる社内チームを検討する余裕も、確保する余裕もありません。
以下に示す項目は、サイバー脅威の防御に必須でありながらもほとんどの組織に不足しています。
- 現在および進化するサイバー脅威に効果的に対処し、対応策を講じるために必要な専門知識
- 複雑化するセキュリティエコシステムに対応するための時間と人材
- 上記の問題に対処するための予算とリソース
マネージド XDR によるセキュリティ課題の解決方法
現在直面しているサイバーセキュリティ課題の多くを簡素化し、解決するためのアプローチとして、マネージド XDR を検討する組織が増えています。マネージド XDR は通常、以下のすべてを実現します。
- 複数のソースから脅威インテリジェンスを収集し、それらをインテリジェントにフィルタリングすることで、適切かつ実用的なアラートのみをセキュリティチームに提供する
- 24 時間体制のサイバーセキュリティ専門人材へのアクセスを、社内で用意する場合の数分の 1 の費用で実現する
- セキュリティスタックをより統一的かつ効果的なソリューションセットに統合する
- チームの延長として機能する専門アナリストを用意し、時間とリソースの不足に対処する
- 大量の人材確保を必要とせずに XDR のメリットを実現する
自社製の XDRを構築するか、マネージド XDRを購入するか
では、本題に戻りましょう。XDR のメリットを享受するには、自社製の XDR ソリューションを構築すべきでしょうか。それとも、マネージド XDR を購入すべきでしょうか。組織にとっての正解は、人材、予算、リスク選好度によって異なります。
XDR の構築費用
BlackBerry の詳細な分析を基に作られた以下の図は、極めて有用な情報を提示しています。この図では、マネージド XDR サービスを購入する場合と、自社で XDR チームとテクノロジースタックを構築する場合の費用を比較しています。
報酬とその他の固定費の分析に基づくと、「最小限の XDR 構築」(図中、左の BUILD MINIMAL)では約 90 万ドルの費用がかかる可能性があります。ここでは SOC チームの人数を 5 人と想定し、金額は展開や製品統合、従業員の給与を含んだ値を構成要素ごとに記載しています。この最小限の構築シナリオでは、病欠、休暇、休日、その他の理由による欠勤により、時折担当者が不在になることがあります。このシナリオはコストを抑える一方で、サイバーリスクを高める場合があるため、組織によってはこのトレードオフが許容できないかもしれません。
自社で XDR を構築する場合のもう一端に位置する「最適な XDR 構築」(図中、右の BUILD OPTIMAL)では、費用が約 220 万ドルとなります。このシナリオでは、人材確保の水準が高まることでより完全な防御体制が実現されますが、費用が大幅に高まります(確保する人材の具体的な数については、図の右上に示した凡例をご覧ください)。
専門家チームによる堅牢な防御体制を実現したいと考える組織は多いものの、そうしたチームや関連するテクノロジースタックを構築することは、組織の予算を大きく上回ります。また、自社で XDR を構築し終えるまでに要する時間もかなりのものです。さらに、これまでに述べた費用には、XDR の基礎となるエンドポイント保護やエンドポイント管理といった基本的なセキュリティ要素への投資は含まれていません。
マネージド XDR ソリューションの購入
では、代わりにマネージド XDR ソリューションを購入すべきなのでしょうか。この問いへのアプローチは組織ごとに異なります。しかし、予算的にはマネージド XDR プラットフォームを購入する方がはるかに有利であり、ビジネス関係者に ROI を示すことが容易になります。
上の図では、エンドポイント数 1,001 の組織では費用が約 9 万 1 千ドルとなっており、その値はエンドポイント数 5,001 のエンタープライズレベルのマネージド XDR サービスでも 50 万ドル未満に抑えられています。
マネージド XDR ソリューションの「購入」を検討すべきもう 1 つの理由として、XDR を自社で構築するよりもはるかに速い導入が可能で、結果的に組織のセキュリティ体制を迅速に改善できることが挙げられます。
経験豊富なセキュリティアナリストと専門家による 24 時間 365 日体制のサポートの下、組織は高度な脅威検知、エンドポイント保護、インシデント管理をすぐに実施できます。適切なマネージド XDR サービスでは、成熟した効果的なサイバーセキュリティ戦略の実施に向けて、組織のあらゆる要望に応える専門家が配備されます。また、多くの組織では社内のセキュリティチームの作業量が劇的に減少し、アナリストが組織の最重要プロジェクトにより多くの時間を費やせるようになります。
マネージド XDR ソリューションの評価
マネージド XDR サービスの購入に関するここまでの議論には説得力がありますが、重要なのは、組織にとって最適なサービスプロバイダを評価することです。一見これは困難な作業のように思われ、何から手をつけるべきかわからないかもしれません。
私たちの考えでは、24 時間 365 日対応のプロバイダに候補を絞り込むことが極めて重要です。そうすれば、社内チームが休息を取っている間も組織のセキュリティ体制が強固に保たれ、防御体制に隙が生じません。
この他にも重要な検討事項はさまざまありますが、それらをどのように考えるかは組織によって異なります。こうした理由から、BlackBerry では、読みやすく共有性の高いマネージド XDR 購入ガイドを作成しています。ぜひご覧ください。
CylanceGUARD について
CylanceGUARD® は、サブスクリプションで提供される 24 時間 365 日体制のマネージド XDR サービスです。脅威を迅速に予防するための実用的なインテリジェンスをお客様に提供し、アラート疲れを最小化します。追加のリソースは一切必要ありません。このサービスは、CylancePROTECT®、CylanceOPTICS®、CylancePERSONA™、CylanceGATEWAY™の他に、すべてのエンドポイントにわたって包括的なテレメトリを提供するサードパーティベンダーとも全面的に統合されています。そのため、高度なスキルを備えた BlackBerry のアナリストがお客様の環境全体で脅威ハンティングを行い、重大な侵害を予防し、組織のセキュリティ体制の成熟を支援することが可能となっています。
- お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- FaceBook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos