3042_main

セキュリティー脅威をもたらす犯罪者集団とは異なり、企業がマルウェアとの戦争に費やすリソースには限りがあります。ただし、企業にその余裕があり、今より多くの資金と人員をマルウェア封じ込めに注ぎ込んだからといって、立場が対等になるわけではなく、むしろ、既存のリソースを基により多くのことを行い、影響を与えることできます。

Ponemon Instituteから委託されたDamballaの調査によれば、APT(Advanced Persistent Threat)が防御対策からうまく逃げ回っている間、IT部門は誤検出を追い求めるだけで貴重な時間と資金を無駄にしているケース多く、企業は年間で平均120万ドルを費やし、誤検出を含む誤ったマルウェア・アラートへの対応に時間を取られています。しかも、5回のマルウェア・アラートのうち、信頼できるものは1つだけという調査結果が出ています。

たとえば、一般的な企業では、マルウェアの検出と封じ込めプロセスに携わっているITスタッフまたはITセキュリティー・スタッフの数は17人です。一方、調査回答者のわずか41パーセントが、インテリジェンスを手に入れ、マルウェアによる真の脅威を評価するために自動ツールを使っています。このツールを持っているITスタッフの報告によれば、マルウェア封じ込めのうち平均60パーセントは人間による入力や介入を必要としません。自動ツールを実装することで、IT部門はスタッフ・メンバーの一部をマルウェア関連の作業から解放できます。構造化されたマルウェア封じ込めプロセスを策定し、そのプロセスの監視を担当する人間を1人または機能を1つ用意すると、リソースをさらに最適化できます。

誤検出を追い続けて1週間で平均395時間を無駄にしている現状では、企業は、セキュリティー脅威に対する知識やナレッジをどこで手に入れるかを再評価する必要もあります。69パーセントの企業がそのインテリジェンスの主な入手源としてベンダーからの情報を利用しており、64パーセントがピアツーピア通信を使用しています。政府および警察当局は、インテリジェンスの入手源にはほとんどなりません。

IT部門はマルウェアに対する防御を強化できますが、時間的な制約があるため、依然として脅威をもたらす側に有利です。調査回答者の大半が、マルウェアの感染がかつてよりも深刻化しているか、著しく深刻化していると答えている一方、45パーセントの回答者がこの12か月でその規模は拡大していると述べています。IT部門がリソースの最適化を始めるまで、この傾向は変わらないと考えるべきでしょう。

このシリーズの第2部では、証拠がいくつあれば有罪にできるかについて説明します。引き続きご覧ください。

(出典:Security Intelligence より訳出 “Study: Enterprises Wasting Time, Money Hunting Down False Positives” BY BRIAN FOSTER 2015年2月24日)