アラートが多すぎて時間が足りない?混乱を封じ込める方法
侵害に備える態勢はツールではなくマインドセットから始まる
私はサイバーセキュリティの最前線で30年以上を過ごし、コンプライアンスと俊敏性のバランスを取り、グローバル企業を防御し、ランサムウェアからゼロデイ攻撃まであらゆる脅威に立ち向かってきました。
元CISOとして、今日多くの皆様が直面している正確な苦痛を理解しています。
侵害に備える態勢は、常にツールを増やすことではありません。
防御が機能しなくなった時を見極め、その次にどうするかという計画を持つことなのです。
最近、Amol Kulkarni氏(元CrowdStrike CPOであり著名な技術者)と行ったセッションで、私はこの思考の転換について振り返りました。
以下はその会話における私の側の考えです。
侵害は避けられない。重要なのはそれをどう封じ込めるか
ランサムウェアは減速していません。
米国は今や世界のランサムウェア攻撃の50%以上を占めています。
データの持ち出しはわずか1年で92%以上も急増し、攻撃者は10種類のランサムウェアファミリーを通じて合計238テラバイトものデータを盗み出しました。
セキュリティ予算は兆ドル規模に近づいているにもかかわらず、侵害は減っていません。何かが明らかに破綻しているのです。
私は両方の立場を経験しました――最初はCrowdStrikeの顧客として、次にColorTokensの顧客として。
私たちはEDR、メールセキュリティ、アラートシステムを導入していました。
それでもダークウェブ上に自社データの痕跡を発見したのです。
その瞬間に再考を迫られました。
「ツールは導入しているのに、弱点はどこにあるのか?」と。
真の問題:ラテラルムーブメント
ほとんどの侵害は4つの段階をたどります。
- 偵察とリソース構築 – 侵害前に行われます。その多くは組織外で発生します。通常はイベントとして現れ、膨大な数となるため、多くのセキュリティチームは無視しています
- 初期アクセスから権限昇格 – 困難ではあるものの対処可能です。セキュリティインシデントとして現れます。セキュリティツールが大半を阻止しますが、それをすり抜けるケースも多くあります
- 探索から横方向への移動(ラテラルムーブメント) – 危険地帯です。この段階でインシデントが侵害へと拡大し、その影響が顕在化します。攻撃者はすぐに次の最終段階に進もうとします
- ラテラルムーブメント後の混乱とデータ喪失 – 攻撃者が成功すると、それでゲームオーバーです。大規模な危機が発生し、多くの組織が規制上の罰則、契約の喪失、身代金の支払い、あるいは評判の失墜に苦しむことになります
3番目の段階、ラテラルムーブメントこそがインシデントを危機に変えるのです。
攻撃者が横方向に移動し始めた時点で、EDRはすでに突破されています。
その時に必要なのは、経路を遮断し、重要なデジタルシステムを即座に保護する仕組みです。
ここでマイクロセグメンテーションが結果を変えるのです。
マイクロセグメンテーションはセキュリティにとどまらず「強靭化」
組織に最も必要なのは、単に監視することではなく、エンタープライズを強靭化することです。
私たちがColorTokens Xshieldを導入したとき、組織のある部分で1万件もの内部通信が見つかりました。
それがIDS、SIEM、EDRシステム全体で500件以上のイベントを生成し、SOCにとっては純粋なノイズでした。
Xshieldを導入した後は、その1万件が200件に減り、アラート件数は50件まで低下しました。
アナリストは幽霊のようなものを追いかけるのではなく、実際の脅威に集中できるようになったのです。
運用疲労も脅威
SOC疲労は現実です。
人材の定着は難しく、チェンジマネジメントは常に反発を受けます。
CISOであれば、しばしば「チーフ・ディナイアル・オフィサー」となり、パッチ適用の時間が短すぎる、あるいは重要なサーバーを停止できないといった理由で、ビジネスの要望を却下しなければならないのです。
Log4jやMOVEitのような緊急の脆弱性であっても、セキュリティのスケジュールはITの現実と衝突することがよくあります。
この溝を埋める唯一の方法は、アーキテクチャそのものに信頼性を組み込むことです。
だからこそ、私はマイクロセグメンテーションを単なる制御以上のものと捉えています。
それは時間を稼ぐバッファなのです。
露出を制限し、被害範囲を縮小し、チームに効果的に対応するための余裕を与えます。
CrowdStrikeとColorTokensのアドバンテージ
この統合がそのバッファを実現します。新しいエージェントを導入したり、テレメトリーを重複させたりする必要はありません。
私たちは5分で7,500以上の資産をオンボーディングし、60分以内にトラフィックを可視化し、24時間以内にポリシーを適用しました。
業務を中断することなく、侵害を段階的に封じ込めることができます。
異常な挙動は接続レベルで遮断され、脅威は1つのマイクロセグメント内に隔離されます。
もしセグメントDで攻撃が発生しても、それはその中にとどまり、ビジネスの80%は稼働し続けます。
これは単なる封じ込めではありません。レジリエンスなのです。
より良いアラート、幸せなアナリスト、強化されたSOC
エンタープライズを強靭化すると、通常のトラフィックは背景に溶け込み、悪意ある挙動が際立ちます。これにより次の効果が得られます。
- 相関ルールの減少
- 自動化への高い信頼性
- 燃え尽きの軽減
- 人材定着の改善
私たちのSOCでは、レベル1のアナリストで生産性が2~3倍に、レベル2と3では1.5~2倍に向上しました。
ノイズを減らし明確さを高めることで、ワークフローと士気が変革されるのです。
レジリエンスは今や取締役会の議題
マイクロセグメンテーションは、CISOがかつて不可能だったことを言えるようにします。「侵害は起きるだろう。しかし私たちは備えている」と。
これにより、取締役会での議論は仮定のリスクから、可視性・制御・大規模な封じ込めによる測定可能なレジリエンスへと変わります。
ポリシーが新しいユーザー、アプリケーション、インフラに自動的に適応するとき、あなたは単に安全であるだけでなく、俊敏であり、そしてレジリエントなのです。
最終的なポイント:主流にすること
マイクロセグメンテーションはもはや特権的な防御策として見なされるべきではありません。
かつてEDRが標準となったように、これも同じ道をたどるべきです。横方向の経路を開けたままにしておくことは、もはや許されません。
もし確信が持てないなら、試してください。その効果を測定してください。そして、大規模に導入した人々の話を聞いてみてください。
私は導入前と導入後の両方を経験しました。そして断言できます――私たちはそれによって強くなったのです。
ColorTokensがどのように支援できるか知りたい場合は、ぜひColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
翻訳元記事
「Too Many Alerts, Too Little Time? Here’s How to Contain the Chaos」
公開日:2025/8/14
著者:Agnidipta Sarkar
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
