防止で企業を守る: 最も重要な防御

Broadcom Softwareの一事業であるシマンテックでは、企業と悪意のある攻撃者間の絶え間ない衝突は主にエンドポイントで起こっていると認識しています。これを受け、多くの組織では、エンドポイントセキュリティ戦略として、主にエンドポイント検出および応答（EDR）と、その後継となる拡張検出および応答（XDR）に重点を置くようになりました。どちらも、エンドポイントを起点とし、組織全体に被害を及ぼす攻撃を検出、隔離、緩和する上で効果的であることが立証されている防御的なアプローチです。

しかし、少し考えてみてください。検知や応答は防御策として不可欠であることは間違いありませんが、そもそも組織への侵入を防ぐ方がよいのではないでしょうか? たとえ脅威を検知し、それに対応したとしても、その脅威がもたらしたかもしれない被害を完全に根絶することはできるでしょうか? そのためには、場合によっては、BIOSレベルからシステムを再構築する必要があります。そのために必要な時間や労力、それに伴う生産性の損失を考えてみてください。

Ponemon Instituteの最近のレポートによると、「攻撃による侵入や損害の発生を防止することができれば、組織は被害を受けることなく、リソース、コスト、時間、評価を守ることができる」と言われています。このレポートでは、フィッシング攻撃の防御における財務的影響を測定しており、その平均コストは83万2,500ドルとなっています。このうち82%は、検出、封じ込め、復旧、修復に充てられ、防止に充てられるのはわずか18%に過ぎません。このように、レポートでは、攻撃を防止することで平均68万2,650ドルのコスト削減が可能になると結論付けています。

ESGの主席アナリストであるDave Gruber氏は、検出と応答を重視するあまり、それが行き過ぎてしまったと述べています。さらに「ESGは、セキュリティベンダーが検出と応答に過剰に傾倒し、重要な防止機能からXDR関連の拡大する市場機会へと投資が移行している可能性を懸念している」とコメントしています。Gruber氏の評価は、レポート「An Ounce of Prevention is Worth a Pound of Detection and Response」でご覧いただけます。

Gruber氏の調査によると、調査回答者の75%が、マルウェア/ウイルスの予防対策は、エンドポイントセキュリティソリューションにおいて重要なコア機能であると回答しています。これは、63%が重要であると回答したEDRを含む、他のどのエンドポイント機能よりも高い数値です。Gruber氏は、このレポートの結果について、近日開催予定の以下のウェビナーで詳しく解説する予定です。Endpoint Security Prevention or Detection? Weighing Options in Dollars and Sense.

ESGのレポートでは、予防を重視することは、ゼロトラストサイバーセキュリティ戦略を実行する上で重要な戦術であるとも主張しています。これは理にかなっています。エンドポイントが当てにならない場合、マルウェアがエンドポイントに到達しないようにすることが最善のアプローチとなります。ESGによると、75%がゼロトラストイニシアティブを推進するために、エンドポイントセキュリティの取り組みを積極的に行っています。

なぜ検知と対応が優先され、予防が犠牲にされる傾向にあるのかと疑問に思う人もいるかもしれません。その理由の1つは、予防がサイバー防衛の最も困難な側面であることです。Ponemonのレポートでは、予防について、80%が検出、封じ込め、復旧、修復よりも難しいと回答しています。他の理由としては、心理的なものかもしれません。攻撃を検出して隔離できたときの「見つけた！」という達成感でしょう。一方、攻撃を防止してしまうことで、攻撃自体があったのかどうかがわからなくなり、その結果、確かに困難ではあるものの、予防への投資が価値あるものであったかの判断がむずかしくなることは認めざるを得ません。

このように、非常に厄介なことばかりの印象ですが、良いニュースもあります。Symantec Endpoint Security (SES) Completeは、前身のSymantec Endpoint Protection（SEP）をベースに、エンドポイントセキュリティのアプローチを再構築したものです。SES Completeでは、次の統合要素を含む多層防御アーキテクチャにおける予防に重きを置いています。

• 機械学習をベースとした適応型保護 
• モバイル保護
• Active Directory保護
• アナリストの管理による検出および通知

これらの機能に加えて、SES Completeでは複数のエンドポイントエージェントを1つのエージェントに統合し、セキュリティ情報を一元管理された分析エンジンにフィードします。SEPをまだお使いであれば、今がSES Completeへの移行のよい機会です。次のステップを検討される際には、ぜひウェビナーをご覧ください。  Endpoint Security Prevention or Detection?Weighing Options in Dollars and Senseでは、多層的なサイバーセキュリティ防御における防止の重要な役割について、ESGのDave Gruber氏より貴重な知見を紹介いただきます。