インシデント対応:MSPがセキュリティの強化と生産性を最大限に高める方法

サイバー攻撃が成功すると、その影響はITをはるかに超えた域にまで及びます。データ侵害やアカウントの乗っ取りの被害は、組織のあらゆる部門やレベルに影響を及ぼし、重要な作業や機能、サービスを麻痺させる可能性があります。侵害を受けた後に組織がどのようなインシデント対応を取るのかは、単に重要なのではなく、短期的および長期的なビジネスの継続性を左右する極めて重要な問題です。

今日の中小企業(SMB)は、さらに巧妙化し、被害者を悪用することに長けたサイバー脅威が増加しつつある状況に直面しています。そのため、タイムリーで効果的なインシデント対応の重要性が極めて高くなっています。Vadeが委託した調査によると、過去12か月間に中小企業の69%がメールセキュリティをすり抜けたデータ侵害の被害を受けたことが分かっています。データ侵害による世界的な平均損失額が435万ドル(米ドル)であることを考えると、これは懸念すべき事態です。

マネージドサービスプロバイダー(MSP)にとって、インシデント対応は、顧客とビジネスを保護するために重要です。Verizonのレポートによると、多くのMSPは中小企業であるため、大企業の2倍の数のサイバー攻撃とデータ侵害を経験しています。また、MSPは複数の中小企業顧客の情報システムに深く組み込まれているため、ハッカーにとって魅力的な標的でもあります。

MSPにとって、インシデント対応はリスクを抑えるだけにとどまりません。これはマネージドセキュリティサービスの重要な機能であり、中小企業は、このサービスを現在最も重要なMSPのサービスとして評価しています。つまり、インシデント対応は多角的で競争力がある継続的な収益源を開発するのに役立ちます。

この記事では、MSPが直面しているインシデント対応の現実を分析し、この極めて重要なサイバーセキュリティ機能を強化する重要なテクノロジーについて検討します。  

インシデント対応の現実

現在、MSPは平均で45種類のセキュリティツールを使用しています。テクノロジーとアプリケーションが急速に増加したために、MSPに情報が押し寄せ、セキュリティインシデントに対応するのが難しくなっています。セキュリティオペレーションセンター(SOC)の3つのうち1つが十分な人数の脅威アナリストを雇うのに苦労している一方で、MSPの課題は、はるかに大きくなっています。MSPが大企業と同じ規模とリソースを備えたSOCを設置する可能性は低いでしょう。それでもなお、特に顧客に対するハッカーの攻撃がより積極的になってきていることを考慮すると、顧客に迅速かつ効果的なインシデント対応を提供することが必要です。

テクノロジーによるインシデント対応の強化

インシデント対応には、MSPでは賄いきれないほどの時間とリソースが必要です。そのため、生産性を最大限に高めるサイバーセキュリティスタックを構築しなければなりません。そこで、効果的なインシデント対応のためにセキュリティスタックに必要な4つのソリューションをご紹介します。

1.メールの脅威の検出と対応

メールはサイバー攻撃の最大の経路であるため、セキュリティインシデントの主要なチャネルになり、マルチフェーズ攻撃を封じ込めて防止するために不可欠な脅威インテリジェンスのソースにもなります。高度なメールセキュリティソリューションは、メールから発生する脅威を予防的および予測的に防衛するだけでなく、ネットワークを通過する脅威を調査し修復する機能も提供します。

2.セキュリティ情報イベント管理(SIEM)

セキュリティ情報イベント管理(SIEM)システムは、セキュリティインシデントをより効率よく追跡して管理し、分析するために使用されるプラットフォームです。SIEM は、さまざまな異なるソースからの分析のために、セキュリティイベントの進行中の記録を取得して表示します。これらのシステムを活用することで、MSPはネットワークやシステムおよびアプリケーション全体でインシデントの監視や管理、報告ができるようになります。

3.エンドポイントでの検出と対応(EDR)

EDR(エンドポイントにおける検出と対応)は、エンドポイントを保護するために使われるテクノロジーです。EDRシステムは、エンドポイントアクティビティの不審な動作を監視することでセキュリティの脅威を検出し、悪意のある脅威をブロックして封じ込め、インシデント対応と調査活動を促進します。

4.バックアップとリカバリーシステム

データ損失防止のために不可欠なバックアップとリカバリーシステムは、リアルタイムのデータ、システム、およびアプリケーションのバックアップをセカンダリソースに安全にコピーして保存します。バックアップとリカバリーシステムは、障害回復やランサムウェアなどの脅威による被害を軽減するための重要な手段です。

サイバーセキュリティスタックを構築する

MSPが迅速かつ効果的なインシデント対応を提供できるかどうかは、強固で相互運用可能なセキュリティスタックをまとめて構築する適切なソリューションを採用できるかどうかにかかっています。これを実現するために、MSPは次の機能を備えたテクノロジーを選択してスタックを構築しなければなりません。

1.人工知能

サイバーセキュリティにおける人工知能(AI)は、この分野の最大の課題の1つに対処します。AIベースのテクノロジーは、高度な脅威の検出と修復を自動化することで、組織がIT部門の人材と高度に専門的なスキルの不足を補うのに役立ちます。このことは、世界のAIサイバーセキュリティ市場が2030年までに1330億ドル(米ドル)以上に成長すると一部の人たちが予測する理由を理解するのに役立ちます。

それでも、すべてのAIソリューションが同等の価値を提供するわけではありません。最適な保護対策をするために、ネイティブ環境に高度なセキュリティを提供するソリューションを探しましょう。つまり、それは、マシンラーニングとディープラーニングのアルゴリズムを一体化したものや、大規模で関連性のある最新のデータセットを活用しているものです。これらの機能により、貴社のテクノロジーは内部ネットワークを動き回る可能性のある脅威を確実にキャッチし、既知や未知のあらゆる種類の脅威から保護できるようになります。

2.統合と標準

インシデント対応には、スピード、可視性、精度が必要です。これらの品質は、テクノロジースタック内のソリューションの相互運用性によって実現されます。さまざまなソリューションが確実に連携するようにするために、ネイティブ環境を強化できるAPIベースのテクノロジーを探してください。

3.ベンダーの専門知識

クラス最高のソリューションとサポートには、業界をリードする専門知識が必要です。これが、サイバーセキュリティの1つの分野を専門とするベンダーが作成したテクノロジーを求めるべき理由です。オールインワンソリューションを販売するベンダーは、テクノロジー、専門知識、およびサポート機能の価値を希薄化しています。最良の方法は、たとえば、メールの脅威の検出と対応に特化したパートナーと、SIEMを専門とする別のパートナーを選ぶことです。

4.脅威識別機能

脅威を識別するには、攻撃面に対する包括的かつ継続的な可視性が必要です。環境を継続的にスキャンするソリューションを探して、内部からの攻撃と内部の脅威を検出し、リアルタイムのインテリジェンスを使って脅威の監視を最新の状態に保ち、ユーザーが疑わしいメールを報告できるようにしましょう。ユーザからの脅威の報告は、ユーザーの認識トレーニングを強化し、セキュリティ志向の文化を育成し、追加の情報源を生み出します。

5.脅威の調査と修復機能

脅威の調査には人間の介入が必要です。それが、脅威の探索や、侵害の痕跡(IoC)と脅威インテリジェンスとの関連付けなどのタスクの効率と生産性を最大限に高めなければならない理由です。脅威にさらされるリスクを負わずにフォレンジック証拠を収集し、ファイルを自動的に分解して分析し、サイバーセキュリティスタック全体にインテリジェンスを統合できるソリューションを探しましょう。

脅威の調査は不可欠ですが、調査結果として得たことを実行する能力も必要です。そのため、インシデントをリアルタイムで修復し、複数のユーザに及んだ脅威に例外なく対処し、孤立した標的型のインシデントを処理できるソリューションを探さなければなりません。

インシデント対応:中小企業のニーズへの対応

サイバーセキュリティの世界においては、インシデント対応は目新しいものではありません。しかし技術の進歩により、それは新しい意味を獲得しました。ハッカーが技術と脅威を休むことなく改良しているため、MSPには、既存の義務から差し引いたり、人員を増やしたりせずに、効果的にインシデントに対応できるインシデント対応ツールが必要です。

Vade for M365のようなAIによる脅威検出および対応テクノロジーを採用することにより、既存のチームと専門知識を活かしてマネージドセキュリティサービスを拡張できます。Microsoft 365環境を管理するMSP向けに構築されているため、APIを基本とした高度な保護や調査および修復機能を提供し、サイバーセキュリティスタックに本来備わっているセキュリティツールと機能を強化します。

ディスカバー  Threat Intel & Investigation