ブログ一覧へ戻る

ガートナーから学ぶ

– 今こそ適切なNDRを

著者
Willem Hendrickx
|
2022-08-16

ガートナーが、7月に発表したレポート「HypeCycle for Security Operations 2022」の中で、Vectra AIの採用している、「NDR(ネットワークの検知およびレスポンス)は、企業のセキュリティチームにとって優先すべきソリューションである」という考え方が検証されました。

もちろん、Vectraは以前からこのことを認識していましたが、ようやく一般的に認識されるようになってきたことはうれしい限りです。

テクノロジーに対して影響を持つ立場の人や意思決定者は、Gartner Hype Cycleレポートに常に注目しています。このような権威あるレポートは、どのカテゴリーが上昇傾向にあり、どれがピークを迎えているか、どれが大量に導入されるにもかかわらず上昇の可能性が低く、「インフレした期待のピーク」の頂上で消滅するか、「どん底」で息絶える運命にあるのかを明らかにします。 

ガートナーは、NDRはこの2つの傾向から逃れ、「啓蒙の坂」を登っている、と結論付けています。

その理由はなんでしょうか?レポートを引用すると次のとおりです。

「セキュリティ運用のためのテクノロジーと機能のロードマップを検討する際には、発見された問題の優先順位付けに重点を置き、セキュリティ運用プログラムをその組織固有の動的な攻撃対象領域と適合させる必要があります。同時にすべてを最新の IT アーキテクチャと整合させる必要があります。」¹

Vectra流に簡単に説明するとこうなります。ネットワーク領域がこれほど分散・断片化し、データセンターからクラウドに至るまで、脅威の動向がこれほど多岐にわたり、未知のもので溢れかえっていたことはありません。ハイブリッドクラウドやマルチクラウドの急速な普及に伴い、かつてないほど多くの攻撃ベクトルが存在するようになりました。現在、すべての異常を調べることはできません。それは、あまりにも数が多すぎる上に、実際にはほとんどが良性だからです。そのため、脅威がどこから発生し、どのように進行しているかにかかわらず、真の脅威に優先順位を付け、昇格させることが重要です。そこで、Vectra Threat Detection andResponse (TDR) というプラットフォームが登場しました。

ローリスク・ハイリターンのセキュリティ投資

リスクにさらされることを最小限に抑えるために、より新しいNDRプラットフォームが必要とされる時期が来ています。それは、ネットワーク、クラウド、アイデンティティ (ID) の各データに振る舞い分析を適用することで、監視にとどまらず、システムの異常な動作を予測する必要があります。

そのような意味で、NDR はセキュリティ運用チームにとって、ローリスク・ハイリターンの投資であるとガートナーは述べています。NDRは、今日の脅威環境では効果の低い、従来からある単独の予防的セキュリティツールを補完するものです。

オンプレミス施設とクラウド間のトラフィックとネットワークの健全性を監視することは、ますます困難になってきています。それに対して適切なNDRは、このギャップ (死角) を解決します。適切なNDRは、機械学習を活用して、他のテクノロジーで見過ごされた脅威を検知します。適切なNDRは、正当なネットワークトラフィックを妨げません。そして、適切なNDRは、組織の効率化にとって障害となることはありません。

 

ガートナーのNDRに対する見解によってVectraのTDRアプローチが立証される

Vectra TDR(NDR、CDR、ITDRを含む)は以下を中心としています。

•             攻撃対象がパブリッククラウド、SaaS、ID、ネットワークなど、常に拡大していることを踏まえ、攻撃対象範囲に関するお客様の要件とソリューションを整合させること

•             膨大な異常の中から、ビジネスにとって最も重要な脅威を優先的に解明する

•             ツールの統合とプロセスの自動化により、SOCチームの作業負担を軽減し、アナリストを疲労させることなく最高の状態で運営できるようにする

•             セキュリティチームがより少ない作業、より少ないツール、より短い時間で攻撃を確認し、阻止できるように、より優れた可視性と制御を提供する

ガートナーのセキュリティ技術に対する評価は、VectraのThreat Detection and Response (TDR、脅威検知およびレスポンス) プラットフォーム戦略とうまく合致しています。

実際、Hype Cycle for Security Operationsレポートでは、Vectra TDRプラットフォームが既に提供しているMDR(Managed Detection and Response)とITDR(Identity Threat Detection and Response)、さらにOTセキュリティ、侵害と攻撃のシミュレーション、デジタルフォレンジックとインシデントレスポンス、脆弱性の優先順位付け技術、デジタルリスク保護サービスといったNDR以外の技術やサービスも取り上げられています。これらはすべて、セキュリティビジネスの意思決定者にとっての優先事項であり、Vectraの総合的な価値提案に含まれる側面です。

 

テクノロジーではなく、ビジネスの成果を手に入れる 

ガートナーがVectraのコアテクノロジーを高く評価しているのは大変喜ばしいことです。最後に、それに対して一見矛盾しているように見えることを述べたいと思います。それは、「テクノロジーではなく、成果に焦点を当てること」です。

ガートナーの MDR の推進要因を考えてみると、いずれも価値ある成果に関わるものです。

•             コンプライアンス:組織に必要な脅威の監視と検知を実施していることを確認する

•             対象範囲:幅広いデータソース、テクノロジー、SaaSプラットフォームに対して、忠実度の高い脅威の検知と対象範囲を提供する

•             封じ込め:脅威を能動的に封じ込める、あるいは混乱させるための措置を開始する

•             制御:エクスポージャー管理、インシデント対応、リスク管理の機能を提供する

•             複雑性の軽減:社内に能力を構築・維持できない、あるいは迅速な能力を必要とする人たちのためにターンキーソリューションを実装する

技術的な実装の失敗、あるいは不完全な実装は、民間企業におけるセキュリティ問題の長年の課題となっています。短期的な問題の解決にとらわれて、セキュリティソリューションを個別に購入し、その都度組み合わせていくことは、摩擦と非互換性を生み出すだけです。EDRや SIEMなどのテクノロジーに多大な投資をしているにもかかわらず、互換性のないNDRやMDRソリューションを並行して展開した場合、結果として意図したものとは逆になる可能性があります。コストが嵩み、破壊的な事態を引き起こすのです。

識別力のあるお客様は、既存の環境と調和しながら、意図通りの結果を生み出すように調整されたツールを提供できるプロバイダーと、パートナーシップを組むべきです。そのようなプロバイダーは、NDRの提供に加えて、率直さ、透明性、アナリストやデリバリーチームとのオープンなコミュニケーション経路を中心とした MDR サービスで支援します。判断材料として、製品のユーザーインターフェイス設計からそのプロバイダーの姿勢を読み取ることができます。

オープンな姿勢と共に、NDRは「啓蒙の坂」となり、MDRは「初期のメインストリーム」と呼ばれる重要な技術を推進しており、他の技術はその可能性に追いつくことができていません。

ガートナーは、レポートの中で、すべての企業の CISO が NDR の採用とMDRを包含することを検討すべきだという説得力のある理由を提示しています。Vectraは、NDR+MDRの提案に対して、他社と差別化できる実績、姿勢、文化を持っています。

現在のNDRはメインストリームに向かって「坂を登っている」とガートナーは述べています。ご存じのとおり、ガートナーがハイプ・サイクルの評決を発表するずっと前から、VectraはNDRに全幅の信頼を置いていました。 

ガートナーの発表により、NDRに関心を持たれる方が増えるかもしれません。そんな中で課題は、適切なNDRを選択することです。そして、それが適切なMDRサービスによってバックアップされていることを確認する必要があります。

HypeCycle for Security Operations 2022(英語)はぜひリンク先からダウンロードください。

このブログ記事は「Take it from Gartner: The Time for the Right NDR Is Now!」の翻訳版です。

----

¹ Andrew Davies et al, "Hype Cycle forSecurity Operations, 2022," Gartner Group, 5 July 2022, p. 5.