一般企業にとって「セキュリティ人材を育成する」ことは難しい。具体的にいえば、CSIRTのようなセキュリティ組織を作り、SOCから上がるアラートを判断し、インシデントをハンドリングできる人材を育成しなければならない。
解決策は2つだ。1つは、EDRベンダーが提供する「簡単にインシデントレスポンスができる仕組み」を取り入れることだ。セキュリティ担当者のスキルが足りなくても、それを補完するような機能を活用する。EDRを導入しようとする担当者は、ダッシュボードに表示される内容を見て、どの程度のスキルがあれば内容を判断できるのか、あらかじめ体感する必要がある。
もう1つの解決策は、判断そのものを外部委託することだ。EDRのエージェントから上がるアラートを、十分なスキルやノウハウを持つアウトソース先で、より分かりやすい形にしてもらうサービスが増えている。
ただし、セキュリティのプロが行う作業は、EDRが集めた情報を読み解いて、対応策を提示するところまでだ。実際にサービスを止める、ネットワークを止めるといった最終的なビジネス判断は内部の人間が行わねばならない。どの部分までをまかせ、どこから自社内で行うか、事前に経営陣を含めて協議する必要がある。
EDRは「話題のキーワード」になり始め、各社がさまざまなソリューションを提供する。しかし、EDRを入れれば全ての脅威から企業を守れるわけではない。あくまで「検知」の補助であり、それをどう生かすかは自分たちの判断にかかっている。
上述した通り、サイバー攻撃を即座に検知できなければ、対策費用が増大する。この現状を見て「まずは検知ができなければ話にならない」と考えたのならば、EDRソリューションはきっとあなたの企業にマッチするだろう。
その時には、検知した後の「判断」プロセスも再考してほしい。検知と判断、この2つがセットになっていれば、EDR導入により企業のレジリエンス(復元力)が大きく高まることだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。