Insights

DDRとは何ですか?

DDRで強化するデータ防御

本ガイドでは、DDRとは何か、DDRの仕組み、そしてデータセキュリティ戦略においてなぜDDRが極めて重要な構成要素であるのかを取り上げています。また、DDRソリューションを検討するにあたって重視すべき点をリスト化してまとめているほか、DDRは他の検知・対応ソリューションと比べるとどうなのかというよくある質問への回答も示しています。

データ検知・対応(DDR)とは何ですか?

DDRとは、データ関連のセキュリティ脅威をリアルタイムで検出することに焦点を当てたサイバーセキュリティソリューションのことです。このDDRの仕組みにより、セキュリティチームはインシデントに素早く対応し、侵害を受けたデータを保護し、データ侵害を修復することができ、金銭的影響、規制対応上の影響、および評判への影響を最小限に抑えられます。

なぜデータ検知・対応(DDR)が必要なのですか?

データ侵害が増えるにつれ、その影響に伴うコスト負担も組織にとってより大きなものとなってきています。IBMの「2023年データ侵害のコストに関する調査レポート」によれば、データ侵害に伴う平均コストは過去最高の445万ドルに達しています。

侵害が偶発的なものか悪意によるものかを問わず、組織の機密データが危険にさらされる期間が長くなるほど、その影響はより深刻になります。実際、発見から解決までに200日以上かかった侵害と、200日未満であった侵害を比較すると、その平均コスト差は102万ドルに上ります。
 

Data Breaches

データ侵害に伴うコストがこれほど高額になる理由は?

データ侵害に伴う主なコストの1つは、事業機会の喪失です。これには、業務中断、システムダウンタイム、顧客離れによる収益の逸失などが含まれます。IBMの「2023年データ侵害のコストに関する調査レポート」によると、データ侵害を原因とする事業機会の喪失に伴う平均コストは130万ドルです。

データ侵害が高コストとなる一因には、規制違反による罰金もあります。データ侵害は機密情報と個人データを漏洩の危険にさらす可能性があり、企業がデータ保護、データプライバシー、およびデータレジデンシーに関連するコンプライアンス規制に意図せず違反する事態をもたらすおそれがあります。

こうした規制の例としては、欧州連合の一般データ保護規則(GDPR)、医療保険の携行性と責任に関する法律(HIPAA)、カリフォルニア州消費者プライバシー法(CCPA)が挙げられます。これらの規制に違反すると、多額の罰金を支払う結果となる可能性があるだけでなく、顧客、投資家、さらにはパートナーからの信頼喪失にもつながる可能性があり、そのような事態になれば、企業の評判は損なわれ、その長期的な存続可能性にも影響します。これは特に、個人識別情報(PII)、保護対象保健情報(PHI)、決済カード業界(PCI)データなどの顧客データがデータ侵害により漏洩の危険にさらされた場合に顕著です。

DDRは、平均検出時間(MTTD)と平均対応時間(MTTR)を短縮することにより、データ侵害に伴うコストを最小限に抑えられます。これにより、組織は損害が実際に発生する前に脅威を封じ込め、是正することができ、事業中断や規制違反による罰金を最小限に抑えられます。DDRソリューションが導入されていると、組織が予防措置を講じていることを規制当局に対して具体的に示すことにもなり、罰金額の軽減につながる可能性もあります (例として、GDPRの罰金算定基準を参照してください)。

 

CTA


データ検知・対応(DDR)にはどのようなメリットがありますか?

データ侵害を検知し封じ込めることを目的としたセキュリティソリューションは数多くありますが、DDRはデータをその取得元レベルで監視することに重点を置くものであり、この点で、DDRは重要なクラウドデータ流出防止(DLP)ツールの1つとなっています。DDRはIT環境に重要なセキュリティ層を加え、インフラストラクチャ、マシン、あるいはワークロードを監視する脅威検知ソリューションに内在する死角を排除します。DDRはこうした他のソリューションと連携して機能します。

組織はDDRソリューションを導入することで以下のようなメリットを得られます。

  • データをその保管場所や移動先にかかわらず監視できる – DDRソリューションによるアクティビティログの監視により、マルチクラウド環境とクラウドベースのSaaS(Software as a Service)アプリケーションの全体にわたってデータを監視できます。 

  • 他のソリューションでは検知できないデータ脅威を検知できる – DDRはデータをその取得元レベルで監視するため、データよりもインフラストラクチャに焦点を当てた脅威検知ソリューションに内在する死角がなくなります。DDRによりデータの使用状況を監視することで、サプライチェーン攻撃や悪意のある内部関係者の場合のように、脅威アクターが承認済みアカウントを通じてデータにアクセスする脅威を検出できます。

  • データ漏洩を発生次第直ちに阻止できる – DDRにより、リアルタイムあるいはほぼリアルタイムの異常検知を通じて、データ漏洩の試みである可能性を示す異常なデータアクセスと行動を素早く特定できます。データ漏洩が検知されると直ちにアラートがトリガーされ、関係するチームに通知されます。そのため、影響を受けたシステムを速やかにブロックするか隔離して、データ流出を防止するとともにデータ侵害の影響を最小限に抑えることができます。一部のDDRソリューションでは、データ漏洩が検知され次第、自動応答が直ちにトリガーされます。

  • データ侵害の調査の効率化できる – データ侵害の調査は、専門的な知識が必要で、時間のかかる複雑なプロセスになることがあります。DDRソリューションはデータコンテキスト、たとえば、どのようなデータが侵害を受けたか、そのデータの所在、そのデータにアクセスしたエンティティなどを提供します。これらを利用することで、セキュリティチームは迅速かつ効果的にリスクを評価し、影響範囲を把握し、次に取るべき措置を判断できます。

  • コストを最小化でき、アラート疲労を軽減できる – あらゆるデータ活動をすべてのクラウドアセットにわたって監視すれば、その費用はすぐに高額になります。加えて、冗長なアラートが発動される状況を招きがちになり、そうなるとチームにアラート疲弊が起きます。DDRソリューションはリスクベースの優先順位付けとアラートのカスタマイズ機能を提供し、コスト削減、アラート疲弊の防止、対応にかかる時間の改善を可能にします。

  • データ規制違反となるリスクを軽減できる – データの取り扱いに適用される規制により、リスクを最小化する形でデータの共有と管理を行うことが組織に義務付けられています。事業者が要求事項を満たさない場合、このような規制に基づく法的措置や罰金が科されることも少なくありません。DDRソリューションは、規制違反が生じたら直ちにそれに対してフラグを立てることで、組織がデータ規制の枠組みに準拠し続けられるよう支援します。

データ検知・対応(DDR)はどのような仕組みや機能なのですか?

DDRソリューションは、監視、検知、アラート、対応という4つの要素で構成されます。 

監視では、AWS CloudTrailやAzure Monitorなどのアクティビティログを通じて、データを継続的にスキャンします。コスト抑制を続けるため、DDRソリューションでは、アクティビティログの監視をオーケストレーションして、全アセットではなく、機密データを含むアセットに重点を置くことができます。 

検知とは、データ脅威の存在を示している可能性のある異常なデータアクセスと不審な行動を特定するプロセスのことをいいます。このプロセスは、サイバー攻撃手法に関する行動分析、機械学習、および継続的な研究を活用して行われます。

DDRソリューションで検知可能なアノマリの例としては、以下を挙げることができます。

  • 通常と異なる地理的位置またはIPアドレスからのデータアクセスがあった

  • 機密データが含まれているアセットを対象としているログ記録システムが無効化された

  • 異常な量の機密データがまとめてダウンロード、削除、または変更された

  • 外部エンティティによる機密データのダウンロードがあった

  • 身元不明のエンティティによる機密データへのアクセスが初めて発生した

アラートは、脅威が検知され次第直ちにトリガーされ、データ侵害の可能性がある事象について、しかるべきチームに通知します。最も優れたDDRツールでは、データ分類を活用して機密データを特定し、機密データが含まれているアセットに対する脅威についてのみアラートを送信します。この機能により、セキュリティオペレーションセンター(SOC)のチームにとってアラートノイズが少なくなり、アラート疲弊が防止されます。

対応は、DDRメカニズムにより迅速かつ効率的に実行されます。このDDRメカニズムは、検知された脅威を封じ込め軽減するアクションを自動化し、潜在的な影響を最小限に抑え、さらなる被害の発生を防ぐ働きをします。DDRソリューションは多くの場合、ITSM(ITサービス管理)、SIEM(セキュリティ情報・イベント管理)、SOAR(セキュリティオーケストレーション・自動化・対応)などのセキュリティ管理システムと連携しています。
 

DDR


DDRソリューションを検討するにあたって重視すべき点は何でしょうか?

堅牢なDDRソリューションは、現在進行形の脅威を、それが発生した時点で直ちに検知し封じ込めることで、データ侵害による金銭的損害、法律に従った対応に伴う損害、および評判上の損害を大幅に軽減することができます。DDRソリューションの選定にあたっては、以下の機能と特徴を重視することが大事です。

  • データコンテキスト – 侵害を受けたデータの種類や、そのデータにアクセスしたエンティティなど、包括的なデータコンテキストを活用できれば、リスクを正確に評価し、影響範囲を把握し、効果的な修正に向け次に取るべき措置を判断できます。

  • セキュアなスキャン – セキュアなDDRソリューションは組織環境内のアクティビティログを監視しますが、そのソリューションのプラットフォーム外にデータを漏洩することはありません。

  • データの取得元レベルでの監視 – データをその取得元レベルで監視することが、可視性を保証し、潜在的な脅威を一切見逃さないための唯一の方法です。このような方法を実践することで、データよりもインフラストラクチャに焦点を当てた脅威検知ソリューションに内在する死角がなくなります。

  • 自動化されたオーケストレーション – 記録対象を機密データに絞ったアクティビティログの管理と監視をオーケストレーションするDDRソリューションは、特に重要な領域にリソースを集中させることで、コストの削減および関連性のないアラート数の最小化に寄与します。

  • SIEMおよびSOARとの連携 – DDRを他のセキュリティツールと連携させることで、セキュリティチームはインシデント対応と復旧を迅速化できます。

  • 修正用プレイブック – インシデントに応じた固有のガイダンスにより、セキュリティチームはデータ侵害の封じ込めと修正をより素早く行うための支援を得られます。このことはデータ流出防止において極めて重要です。

  • 幅広いプラットフォームサポート – データは複数の環境間を移動するため、複数のクラウドサービスプロバイダー(例:Amazon Web Services (AWS)、Microsoft Azure、Good Cloud Platform)、SaaSアプリケーション(例:Microsoft 365)、データウェアハウス(例:BigQuery、Snowflake)、データストア技術(例:オブジェクトストレージ (バケット)、ディスク、リレーショナルデータベース、ドキュメントデータベース)をサポートしているDDRソリューションを選択するのが有益です。

  • シームレスな導入、パフォーマンスへの悪影響なし – エージェントレスソリューションは導入が容易で、パフォーマンスに影響を与えることなくアクティビティログを継続的に監視できます。

  • AI/機械学習ベースの脅威検知 – 人工知能・機械学習(AI/ML)を採用したDDRソリューションは、これらの技術を活用して大量のデータを分析し、複雑なパターンを特定します。高度化が進み進化し続けている脅威をより正確かつプロアクティブに検知できるようにします。

 

データ検知・対応(DDR)とデータセキュリティ体制管理(DSPM)との違いはどのような点ですか?

DDRアラートは、リアルタイムの疑わしい活動やデータ侵害に応答して生成される通知です。このアラートは現在進行形の脅威に対処するための即時対応を促します。他方、DSPM違反とは、組織のデータセキュリティ体制が、事前に定義されたセキュリティポリシーまたは規制上の要件に準拠していない事例のことをいいます。DSPMはセキュリティ管理におけるギャップや弱点を特定し、改善のためのインサイトを提供します。DDRアラートがインシデント対応に焦点を当てたものである一方、DSPM違反はコンプライアンスの確保とより強力なセキュリティ対策の実施により、組織全体のデータセキュリティ体制の強化を目的とするものです。

データ検知・対応(DDR)とクラウド検知・対応(CDR)との違いはどのような点ですか?

CDRソリューションはクラウド環境の監視と保護に焦点を当てています。DDRはデータの監視とセキュリティ保護を専門としています。DDRは機密データに対する脅威を、その場所や形式にかかわらず検知して、インフラ対象のソリューションでは不可能である極めて重要なセキュリティ層を加えます。DDRはまた、組織が特に機密性の高いデータの検知とアラートに重点を置けるようにし、それによってアラートノイズが最小限に抑えられ、コストが削減され、アラート疲弊が防止されます。

 

データ検知・対応(DDR)と、EDRやXDRなどの他のTDIRソリューションとはどのような点で違いますか?

エンドポイント検知・対応(EDR)および拡張検知・対応(XDR)は主にエンドポイントレベルでの脅威検知・対応に焦点を当てていますが、DDRはこれらと異なり、場所を問わず複数のプラットフォームにまたがって保存されているデータを監視し、攻撃ベクトルや標的とされているエンドポイントに関係なく、データ侵害および不正アクセスに関連のあるリスクを軽減します。

もう1つの相違点は、DDRソリューションはエージェントレスであることが多いのに対し、EDRとXDRはエージェントを必要とすることです。したがってDDRの方が導入と保守が容易です。エンドポイントへの追加ソフトウェアエージェントをインストールや継続的な保守の面で管理するタスクが、DDRであれば不要となるためです。エージェントレスソリューションのもう1つのメリットは、パフォーマンスへの影響が最小限で済む点です。これは一般に、エージェントベースのソリューションには当てはまらない特徴です。

データ検知・対応(DDR)はクラウドデータセキュリティプラットフォームにおいて、その全体の中でどのような役割を担いますか?

クラウドデータの保護を最大限に強化するためには、DDRソリューションを、包括的なデータセキュリティ戦略を構成する要素の1つと考える必要があります。このアプローチには、データセキュリティ体制管理、データアクセスガバナンス、コンプライアンス管理などの他の技術も取り入れるとよいでしょう。これらのソリューションを組み合わせることで、あらゆるデータに対するエンドツーエンドのセキュリティが可能となります。
 

ddr

Laminarのアジャイルデータセキュリティプラットフォームとは何ですか?

Laminarのアジャイルデータセキュリティプラットフォームは、マルチクラウド環境、SaaSアプリケーション、およびオンラインファイルホスティングサービスに向けに設計された、包括的な発見、分類、保護、検知および対応機能を提供します。Rubrikのアジャイルソリューションは、絶え間なくデータが急増し、移動し、変化している、ダイナミックかつ急速なペースで進化するクラウド環境におけるデータ保護の課題に特化した対応能力を備えています。 

Laminarを利用すれば、データの発見、分類、予防的保護が可能となります。それと同時に、現在進行形の脅威の監視、リスク評価、発生しうるデータ侵害の影響も最小化できます。 

Laminarの統合型データセキュリティプラットフォームは、以下のような包括的なデータ保護を提供します。

  • データランドスケープインテリジェンス – すべてのクラウドデータを自動的に発見して分類できるため、セキュリティチームによる管理が及んでいないクラウドデータが一切ない状態を実現できます。

  • データセキュリティ体制管理(DSPM) – データポリシーを厳格に適用し、リスクベースの優先順位付け設定を実行することで、機密データをプロアクティブに保護できるようにします。

  • データアクセスガバナンス(DAG) – ユーザーおよびマシンによる機密データへのアクセスを管理して、最小権限アクセスモデルを維持することにより、データ漏洩の影響範囲を最小限に抑えます。

  • データ検知・対応(DDR) – データ侵害を発生次第直ちに検知して、現在進行形の脅威を速やかに封じ込め、被害が生じる可能性を最も低く抑えます。 

  • プライバシーとコンプライアンス – データに関する規制・標準との整合性が確実に保たれるようにし、その上で、監査対応可能なコンプライアンスレポートを生成します。

Laminarのデータ検知・対応(DDR)ソリューションの詳細と、それがLaminarのアジャイルデータセキュリティプラットフォーム全体の中でどのような役割を担うのかについて、詳細をご確認ください。