データ検知および対応(DDR)は、オンプレミス、クラウド、 マルチクラウド 環境全体のあらゆる形式と場所の データ を監視および保護する サイバーセキュリティー ・テクノロジーです。
他の データ損失防止(DLP) ツールは、ネットワーク・インフラストラクチャー とエンドポイントを監視して疑わしいアクティビティーの兆候を検知するのに対し、DDRツールはデータ自体に焦点を当て、データの移動とアクティビティーを追跡します。
DDR はクラウド セキュリティに対するプロアクティブなアプローチとして設計されており、保存中または移動中のデータに対するサイバー脅威をリアルタイムで検知します。また、サイバー攻撃への対応も自動化し、データ侵害、ランサムウェア攻撃、およびその他の情報流出の試みを発生時に阻止できるようにします。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
DDR ソリューションは、複数のプラットフォーム、アプリケーション、データ・ストア、 SaaS (Software as a Service)環境に分散されたクラウド・データの脆弱性に対処するのに役立つため重要です。
クラウド・コンピューティング のオープン性と相互接続性により、顧客データ、 個人情報(PII) 、財務データなどの機密情報が危険にさらされる可能性があります。
IBM のデータ侵害のコストに関する調査によると、データ侵害の 40% は複数の環境に保管されているデータに関係しています。パブリッククラウドからデータが盗まれた場合、平均侵害コストは517万米ドルと最も高くなりました。
データ・プライバシー 規制が拡大し、世界的にデータ侵害のコストが過去最高に達している中、効果的なクラウド・データ・セキュリティー・ストラテジーはビジネスに不可欠です。
エンドポイントの検知と対応 (EDR) 、拡張検知および対応 (XDR) 、ファイアウォールなどのセキュリティ・ソリューションは、ネットワーク・レベルおよびデバイス・レベルでデータの脅威から保護します。ただし、クラウド接続されたネットワークではネットワーク境界が無秩序であることが多いため、データが複数のシステム間で同時に移動または存在する場合、これらのセキュリティー対策は限定的な保護を提供します。
対照的に、DDRはネットワーク境界を超えて動作します。場所に関係なく、データ自体を監視し、保護します。
DDRは、データ検出とデータ分類を使用して、機密データの場所を正確に特定します。次に、DDRはマルチクラウド環境全体でデータの移動と使用状況を追跡します。
Advanced 分析 機能と 異常検知 機能により、DDR ツールは悪意のあるデータ・アクティビティやユーザーの行動を識別できます。例えば、不正アクセス、大量の情報のダウンロード、深夜のデータ転送、異常な所在地からのIPアドレスなどは、サイバー攻撃である可能性があります。
DDR は通常、データ・セキュリティー・ポスチャー管理 (DSPM)システムの一部としてデプロイされます。DSPMは、組織のクラウド環境全体の潜在的な脅威を一元的に把握します。DDRは、これらの脅威を検知して対応するためのリアルタイムのデータ保護を提供します。
組織は、DDRを クラウド・セキュリティー・ポスチャー管理(CSPM) 、 セキュリティー・オーケストレーション、自動化、および対応(SOAR) 、セキュリティー情報およびイベント管理(SIEM) 、 リスク管理 ソリューションなどの他のセキュリティー・ツールと統合することもできます。
データの検知と対応ソリューションには、次の4つの主要なコンポーネントがあります。
DDRは、データ・アクティビティー・ログをリアルタイムで継続的に監視し、セキュリティー・インシデントの発生をすぐに特定して隔離します。
DDR は複数のクラウド・プラットフォーム間でデータ・フローおよびやり取りを追跡するため、データ・リネージュを利用して潜在的な脅威を監視します。データ・リネージュは、さまざまな種類のデータの発信元、経路、宛先、トランスフォーメーションを示します。この情報は、DDRが機密データが危険にさらされる可能性があるかどうか(たとえば、データが予期しないシステムに移動したり、予期しない方法で変更されたりした場合)を判断するのに役立ちます。
潜在的な侵害や異常が検知されると、DDRはアラートをトリガーして適切なセキュリティー・チームに通知します。アラートの生成は優先度に基づいて行われるため、担当者は過剰な通知や誤検知に圧倒されることはありません。通常、アラートは機密データに対する脅威によってのみトリガーされるため、チームは問題を迅速に調査して修復できます。
インシデント対応は、データの検知と対応の最終コンポーネントです。DDRの自動対応機能により、データ侵害の阻止に向けて即座に対応できます。これらの対応には、影響を受けるシステムの隔離、ネットワーク・トラフィックの停止、ユーザー権限のブロックなどが含まれます。
DDRは詳細なインシデント・レポートを生成することもできるため、チームはデータ侵害の原因を理解し、それに応じてセキュリティー・ポリシーを更新することができます。
データ窃盗とは、組織の内部システムから情報が不正に転送されることです。たとえば、従業員が会社を辞めて競合他社に移る前に、知的財産や企業秘密をダウンロードしようとする可能性があります。あるいは、サイバー犯罪者がクレジットカード詐欺に使用できる個人データを盗む可能性があります。
DDRは、疑わしいデータアクティビティーをリアルタイムで監視および検知することで、データ窃盗を防止します。その自動対応機能により、悪意のあるデータのダウンロードを事前にブロックし、セキュリティチームにさらなる措置を講じるよう警告します。
内部脅威は、従業員、請負業者、ビジネス・パートナーなど、組織の承認されたユーザーから発生するため、検知が困難な場合があります。場合によっては、正当な認証情報がサイバー犯罪者によって盗まれ、使用されることもあります。
内部脅威が検知されない期間が長くなればなるほど、悪意のある目的でのデータの盗難や操作によってもたらされる被害は大きくなります。
DDRは、従来のソリューションよりも迅速に内部脅威を検知できるという利点があります。データ盗難を発生後に検知するのではなく、内部脅威の早期警告サインを見つけることができます。動作分析と異常検知を通じて、DDRは許可されたユーザーの疑わしい動作を識別し、セキュリティー・アラートをトリガーし、脅威が発生する前または脅威の発生時に対応します。
ランサムウェアは、組織の機密データを暗号化し、身代金が支払われるまで人質に取るマルウェアです。これは最も一般的な形式の悪意のあるソフトウェアの 1 つであり、影響を受ける組織に数百万ドルの損害を与える可能性があります。データ侵害のコスト関する調査によると、ランサムウェア攻撃により組織は平均で491万米ドルの損害を被っています。
DDRは、データ・アクセスとデータ・アクティビティーの異常をリアルタイムで監視および識別することで、ランサムウェア攻撃を軽減できます。
例えば、大量の情報が予期せず暗号化されるのを検知できます。これは多くの場合、ランサムウェア攻撃の兆候です。次にDDRは、影響を受けるシステムを自動的に隔離して攻撃を封じ込め、セキュリティー・チームにさらなる措置を講じるよう警告します。
組織は、PCI データ・セキュリティ標準 (PCI-DSS) や 一般データ保護規則 (GDPR) などのデータ保護 規制に準拠するというプレッシャーにさらされています。これらの義務に従わないと、罰金、制裁、ブランドの評判の低下につながる可能性があります。
DDR は、データを継続的に監視し、データ監査を実行し、アクセス・ログを追跡することで、組織がデータ・コンプライアンスを管理するのを支援します。この機能は、組織がデータ保護機能を規制要件にマッピングするのに役立ちます。これにより保護のギャップや違反の可能性にすぐに対処し、修正することができます。