セキュリティアラートの大半を占める過検知・誤検知とは?
更新日 : 2024年01月25日
EPPやEDRといったエンドポイントセキュリティ対策製品や次世代ファイアウォールなど、サイバー攻撃の高度化に伴い、セキュリティ対策製品の技術も日々進化しています。 一般的にこれらの製品は、セキュリティ担当者がアラートを一つ一つ適切に対処することが求められますが、それを阻害する要因として過検知・誤検知によるアラートがあります。 本コラムでは、過検知・誤検知とはなにか、どのように対処すればよいのかをご紹介します。 |
目次 |
過検知、誤検知とは
過検知・誤検知とは、正常なプログラムがマルウェアなどによる不正な挙動として誤って判断してしまうことを指します。 例えば、業務で利用するアプリケーション内の挙動がエンドポイントセキュリティ対策製品によって「疑わしい」と判断されるケースが挙げられます。 エンドポイントセキュリティ対策製品に限らず多くのセキュリティ対策製品では「疑わしい挙動は、一旦は検出した上で人が判断する」という方針がとられていることから、このように正常なプログラムをブロックしてしまう事象が発生するのです。 |
過検知、誤検知が発生する原因
過検知・誤検知はなぜ発生するのでしょうか。 1つ目として、検知性能の向上が挙げられます。振る舞い検知やヒューリスティック分析などさまざまな技術を搭載した製品が登場し、従来のパターンマッチングでは見逃してしまうような巧妙なマルウェアも検知できるようになりました。これに伴い、正常とは判断しきれない疑わしいものも検知してしまうことが要因です。 2つ目としては、製品導入時のチューニングが適切でなかったことが考えられます。あらかじめ正常なプログラムが検知されないかどうかを確認し、必要に応じてホワイトリストへの登録など除外設定が必要です。 |
過検知、誤検知がもたらすデメリット
過検知・誤検知は、下記のようなデメリットを発生させる恐れがあります。
|
▼ホワイトペーパーのサンプル▼ |
本ホワイトペーパーでは情報セキュリティ10大脅威2024にランクインしたサイバー脅威の原因や対策方法とセキュリティ運用に関連する用語を解説しています。 自社のセキュリティ強化を検討されている方はぜひダウンロード下さい。 |
対策方法
このような過検知・誤検知を極力減らすための対策として、下記が挙げられます。
|
まとめ
本コラムでは、過検知・誤検知についてご紹介しました。 セキュリティ対策製品は導入しておしまいではなく、製品本来の性能を発揮させるためにも日常的な運用が欠かせません。製品導入前には、自社の運用体制や人的リソースについても十分に検討いただくことをおすすめします。 セキュリティ対策製品の導入や運用代行にお困りであれば、JBサービス株式会社へお気軽にご相談ください。 |