「これまでのセキュリティ対策はプロテクト、つまり予防だったが、今後は投資が『Detection & Response』の分野に移っていく。ガートナーでは対策予算のうち半分以上をここに投資すべきだと考えている」

ガートナー ジャパンのリサーチ部門でITインフラストラクチャ&セキュリティ主席アナリストを務める礒田優一氏はそう話す。

ガートナー ジャパン リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリスト 礒田優一氏

「Detection & Response」とは、予防対策をすり抜けてきた脅威を早期に発見し対処するためのソリューションとその体制構築のことだ。現在、国内企業ではIT投資予算が減少する傾向にあるが、そうしたなかでも「セキュリティ投資は増える。その内訳としてDetection & Responseへの配分率が高くなる」と同氏は予測する。

日本年金機構の事件後、企業からの問い合わせが急増しており、標的型攻撃に対処するには予防対策だけでは不十分であるとの理解が広がっているためだ。なお、平均的な企業でIT予算の5～8％程度がセキュリティ対策に割り振られているという。

社内LAN・端末の挙動を監視では、標的型攻撃を防ぎ、万が一侵入を許した場合でも早期発見・対処を可能にするソリューションとして、どのような製品・サービスへの関心が高まっているのか。礒田氏はユーザー調査の結果から、現在および今後3年での導入が検討されているものとして、「ペイロード分析」「ネットワークトラフィックアナリシス（NTA）」「エンドポイントディテクション&レスポンス（EDR）」の3つを挙げる。

図表　2016年に導入検討が進むと見られる対策製品

ペイロード分析はいわゆる「ネットワークサンドボックス」のことで、未知のマルウェアの侵入を検知・防御するためのもの。予防対策に有効で、すでに国内企業でも導入が進んでいる。

一方、残りの2つは、侵入を許したマルウェアを発見して対処するための製品で、2015年にようやく国内市場に登場し始めたばかりのものだ。

NTA/EDRのいずれも、従来のシグネチャー型のアンチウィルスでは発見できない未知のマルウェアを発見することを目的としている。

NTAは内部ネットワークを流れるトラフィックを解析して不正な通信を検知する。EDRは端末のふるまいを監視して感染端末を検知する。NTAは社内LANに設置するアプライアンス製品として、EDRはPC等の端末にエージェントを組み込む形で提供される。

なお、ここでのNTA/EDRの分類は「何を調べて検知するか」に基づいた分け方に過ぎず、製品によっては、社内LANと端末の双方を監視し、それぞれで得られたログデータを相関分析して脅威を洗い出す高度な機能を備えたものもある。

このNTA/EDRの分野で先行しているのが、パロアルトネットワークスやファイア・アイ、シスコシステムズ、RSA、DAMBALLAといったベンダーだ。他方、これまでセキュリティ業界で中心的な立場にあったアンチウィルスベンダーは動きが遅く、「トレンドマイクロやシマンテック、マカフィーがこの分野の製品を出してくるのは2016年からになる」と礒田氏は話す。