セキュリティエンジニア8人分の価値を発揮!?「XDR」のコストメリット
「新しいセキュリティソリューションの導入を検討したいが、良く他部門から投資対効果について聞かれる」ということはありますか?今回は、今導入が検討されているXDRのコストメリットについて、調査レポートをもとに考察します。
XDRを導入していない場合、各レイヤのセキュリティ製品から各ログなどの情報を収集し、手動で分析して攻撃の兆候などを発見・調査し、影響範囲を可視化・対処する必要があります。すべて手動での対応となるため、膨大なログの調査に時間がかかり、脅威を見逃す可能性や被害が拡大してしまう可能性があります。
XDRを導入している場合、各セキュリティ製品からのログやテレメトリがデータレイクに収集され、相関分析が自動で行われます。メールの情報、端末内のプロセスフロー、横展開や外部通信など攻撃の全体像が可視化されます。収集・分析・検知・可視化の自動化、一部の対処までを自動化することで、被害を最小限に抑えることが可能です。
XDRは投資に見合った効果を生み出すのかー。導入検討時に組織でよく問われるこの質問への回答を探る目的で、IT関連の調査会社ESGは、トレンドマイクロと共同で研究調査を実施し、その結果をレポート※として公表しています。
※所属組織において、検知と対応の戦略、プロセス、テクノロジーに責任を持つセキュリティとITの専門家を対象として、包括的な調査を実施し、その中からXDRソリューションと同様の技術を活用している500の組織(複数製品からのセキュリティデータを自動的に集約し、相関を検出して分析している組織)を集計対象としています。さらに、セキュリティデータの集約度合いと自動化度合いの2軸で対象を分けています。本稿では便宜上、この2軸の度合いが高い組織(=XDRと同様の手法を採用している組織)を「XDRを導入している組織」としてこれ以降表現しています。
XDRを導入している組織に対し、「自組織の自動化システムを正社員の労働量(FTE: full-time equivalent)で置き換えると何人が必要か」を質問したところ、回答の平均は「8人」でした。
経済産業省が発行しているレポート「我が国におけるIT人材の動向(令和3年、経済産業省)」によると、システムエンジニアのオファー年収(給与水準)は約700万円となっています。約700万円×8人分、つまりXDRは年間で約5,600万円分と同等の価値という計算をすることができます。
図:XDRによる検知と対応の自動化は正社員8人分(約5,600万円/年)に値する
<出典:ESG-The XDR Payoff: Better Security Posture>
コストメリット②:XDRにより年間インシデント対応費用は3,200万円減少
同調査において、「組織においてデータ侵害や攻撃が過去12か月でどれくらい成功しているか」を聞いたところ、XDR導入組織では平均6.49件だったのに対し、未導入組織においては14.27件でした。つまり、XDR導入組織においては、データ侵害や攻撃の発生件数(=インシデント件数)が、XDRを導入していない組織と比較し、約54%減少しているということです。攻撃のカテゴリごと(インサイダーによる脅威が原因でのデータ損失、外部の攻撃者が原因のデータ損失、ランサムウェアやマルウェア、DDoS攻撃などの攻撃が原因でデータアクセスの停止やIT障害が発生)で見ても、いずれも攻撃/侵害された件数が少ない結果となっています。
図:XDR導入組織は年間インシデント数が54%減少
<出典:ESG-The XDR Payoff: Better Security Posture>
上記の数字を、インシデント対応費用に置き換えて考えてみましょう。
インシデントが発生した際には、初動対応・フォレンジック調査を行ったうえで、対外的対応や復旧および再発防止策の対応が必要になりますが、ここでは便宜上、初動対応・フォレンジック調査にかかる費用をインシデント対応費用として考えます。また、インシデントにより生じた損失や損害についても費用に含まないものとします。
IPA(情報処理推進機構)が発行しているセキュリティ関連の費用可視化ツール「NANBOK」で設定している計算値を引用して計算します。従業員300人以上の企業の場合、初動対応にかかる費用は1,250,000円となっています。また、フォレンジック調査にかかる費用は、仮に「標的型攻撃による機密情報の窃取」とした場合、2,900,000円です。初動対応とフォレンジック調査で合計4,150,000円がインシデント1件あたりの対応費用とここでは考えてみます。
仮に発生したインシデント全てを外部に調査委託した場合、XDR未導入における年間のインシデント対応費用は59,220,500円(年間のインシデント発生件数14.27×1件のインシデント対応費用4,150,000円)となります。これに対し、XDR導入組織における年間インシデント対応費用は26,933,500円(年間のインシデント発生件数6.49×1件のインシデント対応費用4,150,000円)となり、その差は32,287,000円と算出できます。つまり、XDRを導入している組織においては、年間のインシデント対応費用が約3200万円少なくて済む、という算出をすることができます。
図:XDRにより年間のインシデント対応費用が3,200万円減少すると計算できる
<出典:ESG-The XDR Payoff: Better Security Posture>
まとめ
本稿では、XDRのコストメリットについて考察してきました。記事内で算出した年間の人件費やインシデント対応費用については、あくまで参考情報をもとにした単純計算となるため、企業や組織におけるシステムの規模間や体制などによって、実際のメリットは異なります。しかしながら、調査結果のとおり、XDRによる高度な攻撃の検知と対応の自動化は、正社員約8人分の労働量と同等の価値を組織にもたらします。また、XDRの導入により侵害/攻撃などインシデントの発生件数が少なくなるため、インシデント対応費用の減少につながります。
アタックサーフェス(攻撃対象領域)の拡大や攻撃の進化は今後も続いていきます。セキュリティ専門人材の不足は業界の慢性課題とも言われており、仮に8人分の投資費用を用意したとしても、実際に確保していくことは難しく、また多くの企業にとっては重い負担となります。XDRはこうした課題を技術で解決し、組織に大きな恩恵をもたらすことが期待できます。
本稿で考察したXDRのコストメリットが、皆さまのセキュリティ対策検討の一助となれば幸いです。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)