米FireEyeは1月22日、企業のセキュリティアラート管理の実態に関する調査レポート「The Numbers Game: How Many Alerts is tooMany to Handle?(数の駆け引き:処理しきれないアラートの数は?)」を発表した。
日本法人が1月26日に抄訳を伝えた。調査は米IDCに委託し、日本を含むアジア、北米、中南米、欧州の大企業500社以上を対象に実施した。
本調査レポートの主な内容は以下の通り。
アラート管理業務への予算配分は低い
ITセキュリティ分野の支出に関する質問では、回答者の70%以上がセキュリティ管理に割り当てられる予算は全体の半分程度と答えている。アラートを増やすテクノロジや、予期せぬ事態に対する予算が残されている。
一方、日本企業についてみると、半数近くの企業が、ITセキュリティ分野の支出の中でセキュリティ管理に割り当てている予算は25%以下と、世界から見ると低い結果となった。
大量のセキュリティアラートで品質の問題が見えなくなることも
セキュリティアラートの件数について、調査対象となった企業の37%が毎月1万件以上(1日で換算すると300件以上、1時間では14件以上)のアラートを受けていると回答した。さらに、この多数のアラートのうち、約半数以上が誤検出であり、また3分の1以上が、複数の脅威検出プラットフォームを利用していることによる重複検出であるという。
この中で、回答者の約50%がアラートの質を向上し、数を削減するため、セキュリティ製品の構成を評価する時間を毎月確保している。一方で、約80%はアラートの品質について「素晴らしい」または「概ね素晴らしい」と感じており、アラートの品質に対する認識には溝があることが見て取れる。
「低」「中」レベルのアラートでは、応答時間の遅れが顕著
「中」レベルのセキュリティアラートの応答時間については、回答者の60%以上が6~12時間と述べており、「低」レベルアラートの応答時間については、60%以上が13時間~1日以上と答えている。攻撃者にとっては損害を与えるのに十分な時間があることが分かる。
セキュリティ管理のアウトソースは有効だが多くは非導入
セキュリティ管理業務のアウトソーシングによって、セキュリティ体制が向上すると考えている割合は、回答者全体の4分の3以上に上った。その一方で、回答者の56%がこれらの業務を社内で実施していると答えた。
なお、日本企業についての調査結果では、33%の企業がセキュリティアラートの数が増加傾向にあるとしているものの、アウトソースサービスの利用は36%と依然として低い(例えば韓国では65%)。また、アウトソースサービスを利用している企業の92%が、その採用理由についてコストではなく、セキュリティ対策の向上が理由と回答している。
