セキュリティアラートの大半を占める過検知・誤検知とは?

misdetection-top.jpg

EPPやEDRといったエンドポイントセキュリティ対策製品や次世代ファイアウォールなど、サイバー攻撃の高度化に伴い、セキュリティ対策製品の技術も日々進化しています。

一般的にこれらの製品は、セキュリティ担当者がアラートを一つ一つ適切に対処することが求められますが、それを阻害する要因として過検知・誤検知によるアラートがあります。

本コラムでは、過検知・誤検知とはなにか、どのように対処すればよいのかをご紹介します。

目次

  1. 過検知・誤検知とは
  2. 過検知・誤検知が発生する原因
  3. 過検知・誤検知がもたらすデメリット
  4. 対策方法
  5. まとめ

過検知、誤検知とは

misdetection-1.jpg

過検知・誤検知とは、正常なプログラムがマルウェアなどによる不正な挙動として誤って判断してしまうことを指します。

例えば、業務で利用するアプリケーション内の挙動がエンドポイントセキュリティ対策製品によって「疑わしい」と判断されるケースが挙げられます。

エンドポイントセキュリティ対策製品に限らず多くのセキュリティ対策製品では「疑わしい挙動は、一旦は検出した上で人が判断する」という方針がとられていることから、このように正常なプログラムをブロックしてしまう事象が発生するのです。

過検知、誤検知が発生する原因

misdetection-2.jpg

過検知・誤検知はなぜ発生するのでしょうか。

1つ目として、検知性能の向上が挙げられます。振る舞い検知やヒューリスティック分析などさまざまな技術を搭載した製品が登場し、従来のパターンマッチングでは見逃してしまうような巧妙なマルウェアも検知できるようになりました。これに伴い、正常とは判断しきれない疑わしいものも検知してしまうことが要因です。

2つ目としては、製品導入時のチューニングが適切でなかったことが考えられます。あらかじめ正常なプログラムが検知されないかどうかを確認し、必要に応じてホワイトリストへの登録など除外設定が必要です。



過検知、誤検知がもたらすデメリット

過検知・誤検知は、下記のようなデメリットを発生させる恐れがあります。

  1. 従業員の業務に支障が出る
    怪しい挙動が確認された端末に対して、マルウェアに感染していないかチェックしたり、アラート内容を確認したり、調査完了まで端末利用者の業務は一時的に停止してしまうかもしれません。
  2. 重要アラートへの対応が遅れる
    担当者はアラートの重要性や緊急度、対応の必要性を判断する上で、過検知・誤検知によるアラートは余計なノイズになってしまいます。これにより重要アラートへの対応が遅れる恐れもあります。
  3. 担当者の運用工数が増加
    セキュリティ対策製品で検出されたプログラムを調査し、安全と確認できた場合は今後検知しないようにポリシー設定するなど、担当者にとって手間がかかってしまいます。

対策方法

このような過検知・誤検知を極力減らすための対策として、下記が挙げられます。

  1. セキュリティ対策製品を導入する際の適切なチューニング
    業務で利用しているアプリケーションなどが誤って検知されないよう、チューニングしましょう。
  2. 定期的なチューニング
    利用するアプリケーションが増えた際には製品で検知しないか確認の上、必要に応じて設定を変更しましょう。
  3. 過検知・誤検知の少ない製品の利用
    セキュリティ対策製品の中でも過検知・誤検知の少なさを特長とした製品や自動的に対処する製品も登場しています。
  4. 日常運用はアウトソーシングする
    ホワイトリストへの追加作業など日常的な運用を、セキュリティ運用支援サービスを提供する企業へアウトソーシングすることもおすすめします。

まとめ

本コラムでは、過検知・誤検知についてご紹介しました。

セキュリティ対策製品は導入しておしまいではなく、製品本来の性能を発揮させるためにも日常的な運用が欠かせません。製品導入前には、自社の運用体制や人的リソースについても十分に検討いただくことをおすすめします。

セキュリティ対策製品の導入や運用代行にお困りであれば、JBサービス株式会社へお気軽にご相談ください。

関連サービス
セキュリティ運用サービス(MSS)

セキュリティ運用サービス(MSS)

認定ホワイトハッカーを中心としたセキュリティの専門家チームと全国拠点の技術員とコールセンターが連携し、日々増え続けるサイバー攻撃の脅威からお客様の情報資産を守ります。JBサービス(JBS)は企業の情報セキュリティ対策・ITシステム運用をご提供いたします。

詳しく »