検知可能領域とは?
検知可能領域とは、組織が潜在的な脅威を識別するために分析できる信号、ログ監視、テレメトリ、データソースの総合的な集合体です。この用語は2023年にForrester社のアナリストによって造られたもので、サイバーセキュリティ分野では比較的新しいものです。
検知可能領域の概念には、エンドポイントのアクティビティやネットワークトラフィックから、クラウドサービスのログや外部の脅威インテリジェンスフィードまで、すべてが含まれます。これらのカテゴリを含む資産に対する強固な可視性により、セキュリティチームは悪意のあるアクティビティをより効果的に監視、調査、対応できるようになります。
アタックサーフェスの概念は攻撃者が悪用できる侵入点と脆弱性に焦点を当てていますが、検知可能領域は、組織がセキュリティ関連データをどれだけ効果的に観察、解釈、行動できるかに関係します。言い換えれば、アタックサーフェスは脅威が発生する可能性のある場所を示し、検知可能領域はそれらの脅威をどれだけ効果的に検知できるかを定義します。
サイバーセキュリティにおける可視性の重要性の高まり
サイバー脅威が高度化する中、組織は受動的なセキュリティ姿勢を超えて、積極的な検知戦略を採用する必要があります。オンプレミスのインフラストラクチャ、クラウド環境、リモートエンドポイント、サードパーティのサービスを含むすべてのデジタル資産の可視性は、脅威の早期検出と効果的なインシデント対応に不可欠です。
明確に定義された検知可能領域がないと、セキュリティチームは攻撃者に悪用される盲点を抱えるリスクがあります。検知可能領域を拡大し最適化することで、組織は脅威を迅速に検知し、軽減することができ、滞留時間を短縮し潜在的な損害を制限できます。サイバーセキュリティの状況が進化する中で、検知能力の強化はもはや選択肢ではなく、必須です。
検知可能領域とアタックサーフェス
検知可能領域と攻アタックサーフェスの違いを理解することは、包括的なサイバーセキュリティ戦略を策定する上で重要です。両方の概念が組織のセキュリティ体制に関連していますが、機能は正反対です。1つは脅威がどのように出現するかを定義し、もう1つはそれらの脅威をどれだけ適切に識別し、軽減できるかを決定します。
アタックサーフェスとは?
アタックサーフェスとは、攻撃者が悪用できるエントリーポイント、脆弱性、公開資産の総数を指します。これには以下が含まれます。
- ウェブアプリケーション 、 API 、クラウドサービスなどの外部向け資産
- 水平展開によって侵害される可能性のある内部システムとエンドポイント
- セキュリティギャップを生む誤設定、脆弱な認証情報、パッチが適用されていないソフトウェア
- リスクを拡大するサードパーティ統合とサプライチェーン依存
エクスポージャー ポイントが少ないほど敵対者が環境に侵入する機会が減るため、アタックサーフェスを減らす、あるいは少なくとも理解することは、サイバーセキュリティの重要な目標です。
検知可能領域とは?
対照的に、検知可能領域は、組織の環境に対する可視性の広さと深さを示します。脅威検知を可能にするすべてのデータソース、セキュリティツール、監視機能が含まれています。強力な検知可能領域により、セキュリティチームは疑わしいアクティビティを迅速に特定し、潜在的な脅威を調査し、効果的に対応できます。これは、次のもので構成されています。
- エンドポイント、ネットワーク、クラウドインフラストラクチャ、アプリケーションからのテレメトリ
- ファイアウォール、侵入検知および防止システム(IDPS)、SIEM プラットフォームからのログデータ
- 新たな脅威に関するコンテキストを提供する脅威インテリジェンスフィード
- ユーザーおよびエンティティ行動分析(UEBA)と異常検知ツール
アタックサーフェスはリスク エクスポージャーを表しますが、検知可能領域はセキュリティに対する認識を表します。セキュリティチームは現在、この2つの領域の間のギャップを埋めることが不可欠であることを理解し始めています。検知可能領域を適切に管理することで、組織は、重大な損害が発生する前にアタックサーフェスに沿って脅威を見つけ停止できます。
検知可能領域の例
検知可能領域には、セキュリティ専門家が脅威を特定し対応するために使用するさまざまなデータソース、ツール、テレメトリが含まれています。異なる環境とセキュリティ戦略には異なる検知アプローチが必要ですが、可視性を最大化して、悪意のあるアクティビティを早期に検知するという目標は同じです。次に、検知可能領域の重要な例を見てみましょう。
エンドポイント検知可能領域
ワークステーション、サーバー、モバイルデバイスを含むエンドポイントは、サイバー攻撃の主要な標的です。このカテゴリの強力な検知可能領域には、プロセスの実行、ファイルのアクセス、ユーザーアクティビティなどのデータを収集して分析するエンドポイントディテクションレスポンス(EDR)ソリューションが含まれます。セキュリティチームは、このテレメトリを使用して、異常なプロセスの動作、不正なファイル変更、または権限の昇格などの侵害の兆候(IoC)を特定します。
ネットワーク検知可能領域
ネットワークは、水平展開、コマンド・アンド・コントロール(C2)トラフィック、データ窃盗の試みを識別するための重要なレイヤーとして機能します。ネットワーク検知可能領域には、ファイアウォールログ監視、IDPS、ディープパケットインスペクション、およびトラフィック分析ツールが含まれます。セキュリティチームは、この検知情報を使用して、送信トラフィックの急増、疑わしいIP アドレスへの接続、不正なアクセスの試みなどの異常を検知します。
クラウド検知可能領域
組織がクラウドサービスへの依存度を高める中、クラウド環境の監視が不可欠になります。クラウド検知可能領域にはクラウドセキュリティ姿勢管理(CSPM)ツール、クラウドプロバイダーログ(AWS CloudTrail、Azure Monitor)、APIアクティビティ追跡からのテレメトリが含まれます。セキュリティチームはこのデータを分析し、誤設定、不正なAPI呼び出し、または攻撃者の存在を示唆する可能性のある疑わしいアクセスパターンを検知します。
IDおよびアクセス検知可能領域
ユーザー認証とアクセス制御は、セキュリティの要です。IDおよびアクセス管理(IAM)検知可能領域には、Okta やMicrosoft Entra ID などのアイデンティティプロバイダー(IdP)からのログ監視、多要素認証(MFA)の試行、権限昇格イベントが含まれます。セキュリティチームは、ログイン試行の失敗、異常な地理的ログイン、または突然の権限変更を分析することで、潜在的なアカウント乗っ取りや内部脅威を検知できます。
アプリケーションとAPI の検知可能領域
アプリケーションとAPI は頻繁に攻撃ベクトルとなり、その検知対象にはウェブアプリケーション ファイアウォール(WAF)ログ、アプリケーションパフォーマンス監視(APM)ツール、API セキュリティプラットフォームが含まれます。セキュリティチームはこのデータを使用して、機密データを危険にさらす可能性のあるブルートフォース攻撃、インジェクション攻撃、API の悪用を特定します。
ロギングと検知の比較
サイバーセキュリティにおいてロギングと検知は密接に関連していますが、セキュリティ運用ではそれぞれ異なる目的を果たします。ログ管理はシステムイベントに関するデータを収集し保存することを含みますが、検知はそのデータを分析して潜在的なセキュリティ脅威を特定することに焦点を当てています。どちらも効果的なセキュリティ戦略の最重要要素ですが、その違いを理解することが強力な検知体制を構築する鍵となります。
- ロギングとは、組織のインフラストラクチャ全体にわたるシステムのアクティビティ、イベント、およびトランザクションを記録するプロセスを指します。ログ監視はファイアウォール、サービス、エンドポイント、クラウドサービス、アプリケーションによって生成され、実行されたアクションの履歴を提供します。
- 検知は、ログ監視とその他のテレメトリをリアルタイムで分析し、疑わしいまたは悪質のアクティビティを特定することを含みます。このプロセスには、多くの場合、セキュリティ情報およびイベント管理(SIEM)プラットフォーム、拡張検知および対応(XDR)ツール、行動分析が含まれます。
ロギングと検知の主な違い
目的
- ロギングは主に記録保存、コンプライアンス、デジタルフォレンジックとインシデント対応(DFIR)に使用されます。
- 検知は、アクティブなセキュリティ脅威を特定し、リアルタイム修復で対応することに重点を置いています。
適用範囲
- ロギングは、日常的なユーザー活動から潜在的なセキュリティイベントまで、すべてを記録します。
- 検知はログ監視をフィルタリングして優先順位付けし、セキュリティ関連のイベントのみを識別します。
実用性
- ログは、生データを提供し、手動で確認するか、自動化ツールで分析する必要があります。
- 検知は、ログ監視分析に基づいて警告または実用的なインサイトを生成します。
テクノロジー
- ロギングは、SIEM や集中型ログ アグリゲータのようなログ管理ソリューションに依存しています。
- 検知には、IDPS、EDR、機械学習ベースの分析を含む脅威検知ツールが利用されます。
セキュリティ運用における役割
- ロギングは、調査、監査、コンプライアンス報告をサポートします。
- 検知はプロアクティブなセキュリティ監視、脅威ハンティング、自動対応を可能にします。
ロギングと検知はどちらもセキュリティチームにとって不可欠ですが、強力な検知機能がなければ、ログ監視は過去の活動の受動的な記録に過ぎず、能動的な防御メカニズムにはなりません。組織は、脅威がエスカレートする前に、検知可能領域がログを効果的に分析し、優先順位を付けていることを確認する必要があります。
検知可能領域が重要な理由
サイバー脅威が量と巧妙さを増し続けている中、検知可能領域は重要です。つまり、組織は予防的なセキュリティ対策だけでなく、脅威がエスカレートする前に検知して対応するために、環境に対する深い可視性が必要です。
明確に定義された検知可能領域により、セキュリティチームは潜在的な脅威を分析し、疑わしいアクティビティを特定し、リスクを最小限に抑えるための積極的な措置を講じることができます。強力な検知可能領域の実践を実装することで、組織は以下のことが可能になります。
- 滞留時間を短縮:攻撃ライフサイクルの初期段階で脅威を検知し、重大な損害が発生する前に対処します。
- インシデント対応の強化:セキュリティチームに、脅威を効果的に調査し修復するために必要なテレメトリとログを提供します。
- 盲点の特定:エンドポイント、ネットワーク、クラウド環境、ID システム全体にわたる包括的な可視性を確保します。
- コンプライアンスの取り組みの支援:多くのセキュリティ規制で、組織が監査目的でセキュリティ イベントを監視し、記録することが求められています。
- セキュリティ レジリエンスの向上:強力な検知可能領域により、組織は時間の経過とともに脅威検知能力を適応させ、洗練させることができます。
サイバーセキュリティにおける検知可能領域の新たな役割
従来、セキュリティの取り組みは、アタックサーフェスを減らすこと、つまり攻撃者が悪用する可能性のある侵入ポイントの数を最小限に抑えることに重点を置いてきました。しかし、クラウドコンピューティング、リモートワーク、そしてますます高度化する攻撃技術の台頭により、組織は可視性が防止と同様に最重要であることを認識しています。
その結果、セキュリティ フレームワークとテクノロジーは進化し、プロアクティブな検知、AI 手動の分析、XDR、脅威インテリジェンスの統合により、組織の検知可能領域は拡大しています。
したがって、セキュリティ オペレーションセンター(SOC)は、アタックサーフェスを縮小しつつ検知可能領域を拡大する必要性を認識し、両者のギャップを効果的に埋めることで、脅威の軽減と排除を加速するプロアクティブなセキュリティ体制を構築するために取り組んでいます。